WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca
www.dirittobancario.it
Approfondimenti

La nuova banca dati EBA sulle carenze antiriciclaggio

28 Maggio 2024

Giampaolo Estrafallaces, Consigliere Senior, Banca d’Italia

Di cosa si parla in questo articolo

[*] Il presente contributo analizza la nuova banca dati centrale EBA relativa alle carenze degli operatori del settore finanziari rilevanti in materia di antiriciclaggio e contrasto al finanziamento del terrorismo AML/CFT. La Commissione UE ha approvato il 9 novembre 2023 il Regolamento delegato (UE) 2024/595 che contiene le norme tecniche per l’istituzione e il funzionamento della banca dati prevista dal Regolamento (UE) 1093/2010. Quest’ultimo impone all’Autorità bancaria europea di creare e aggiornare una banca dati centrale contenente le informazioni relative alle carenze rilevanti riscontrate dalle autorità nazionali (“autorità segnalanti”) nell’esercizio della loro attività di controllo AML/CFT nei confronti degli operatori del settore finanziario. Tali informazioni sono funzionali a garantire che l’EBA possa esercitare efficacemente il proprio ruolo di guida, coordinamento e monitoraggio per promuovere l’integrità, la trasparenza e la sicurezza nel sistema finanziario al fine di impedirne l’uso a fini di riciclaggio o finanziamento del terrorismo. Le informazioni potranno essere condivise dall’EBA con le autorità segnalanti e con ESMA e EIOPA. L’istituzione della banca dati avrà conseguenze sulla regolamentazione e l’assetto organizzativo delle singole autorità nazionali segnalanti, ciascuna delle quali dovrà nominare, nel proprio ambito, un soggetto che la rappresenti nei confronti dell’EBA ed adibire a questi nuovi compiti risorse adeguate. Il regolamento prevede che secondo un approccio “sequenziale” alcune autorità segnalanti avranno un accesso diretto e altre un accesso indiretto alla banca dati. I diversi attori di questo processo dovranno adottare misure che tutelino la riservatezza sia dei dati trasmessi sia di quelli acquisiti.


1. Premessa

Il 16 febbraio 2024 è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il regolamento delegato 2024/595 (d’ora innanzi “Regolamento”) adottato dalla Commissione UE il 9 novembre 2023.

Il “Regolamento”, dopo un iter consultivo condotto dal 6 maggio al 17 giugno 2021 e la pubblicazione a dicembre dello stesso anno del relativo final report[1], dà attuazione all’obbligo sancito dall’articolo 9 bis, paragrafo 2 del regolamento (UE) 1093/2010[2].

Quest’ultimo impone all’Autorità bancaria europea (d’ora innanzi, EBA) di creare e mantenere aggiornata una banca dati centrale (d’ora innanzi “Banca dati EBA”) contenente un novero preciso di informazioni attinenti alle carenze in materia di obblighi AML/CFT eventualmente riscontrate dai soggetti specificamente individuati come “autorità segnalanti” nei confronti di un “operatore del settore finanziario” (d’ora innanzi, “operatore”)[3].

Il testo del “Regolamento”, strutturato in ventisei “considerando”, quindici articoli e tre allegati, inquadra la “Banca dati EBA” nel generale ambito degli strumenti di contrasto del riciclaggio e del finanziamento del terrorismo: in sostanza, così come si desume dal complesso delle norme in esame, la finalità perseguita con tale mezzo è l’accentramento in un unico archivio elettronico di tutte le informazioni sulle carenze ML/TF “rilevanti” che siano state individuate dalle singole autorità nazionali competenti e favorire, per tale via, il “…ruolo guida di coordinamento e monitoraggio nel promuovere l’integrità, la trasparenza e la sicurezza nel sistema finanziario che nell’ambito dell’Unione è attualmente attribuito all’EBA[4].

Il “Regolamento”obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri – è entrato in vigore trascorsi venti giorni dalla data di pubblicazione in Gazzetta, cioè il 7 marzo 2024, e comporterà un impegno rilevante per le “autorità segnalanti”, sia dal punto di vista operativo sia da quello organizzativo, con conseguenti probabili ricadute anche sull’operatore cui la “carenza” verrà imputata in relazione a possibili ulteriori richieste da parte dell’autorità di informazioni, dettagli, dati e documenti di cui potrà essere destinatario.

Per quanto attiene ai prossimi impegni organizzativi, il regolatore unionale ha previsto che ciascuna delle autorità nazionali rientrante nel novero delle “segnalanti” nomini una persona, in adeguata posizione gerarchica, per rappresentarla nei confronti della “Banca dati EBA”.

Inoltre, per garantire un efficiente processo, ciascuna autorità nazionale segnalante dovrà destinare alla gestione di questi obblighi risorse adeguate.

2. L’oggetto della segnalazione alla “banca dati EBA”

Il “Regolamento” stabilisce che ciascuna delle autorità nazionali “segnalanti” fornisca alla “Banca dati EBA” informazioni accurate, complete, adeguate e aggiornate[5]

  • sulle carenze rilevanti e
  • sulle misure adottate al riguardo, senza “indebito ritardo”.

Tra l’altro le informazioni sulle carenze dovranno essere fornite a prescindere dall’adozione delle misure.

Poiché la finalità perseguita con l’istituzione della “Banca dati EBA” è quella di disporre di uno strumento di analisi precoce[6] assumono centralità l’esatta definizione dei concetti di “carenza” (weakness) e di “rilevanza della carenza” (materiality of a weakness).

2.1 Il concetto di “carenza”

Ai sensi dell’articolo 2 del “Regolamento”, il primo dei predetti concetti (weakness) si concretizza al realizzarsi di tre distinte situazioni che, echeggiando la terminologia utilizzata per formulare l’obbligo di segnalazione di un’operazione sospetta[7], rappresentano tre diversi stati di maturazione della carenza, breach, potential breach, ineffective or inappropriate application (v. figura 1).

Fig.1

L’individuazione di questi tre stati dovrà essere seguita da un’ulteriore valutazione che ha per oggetto la “rilevanza” (o meno) dei fatti individuati (v. infra, paragrafo 2.2).

Nel primo caso (breach) si fa riferimento a una violazione[8] già identificata in maniera pressoché univoca (which has been identified) dall’autorità preposta all’inoltro della segnalazione che, pertanto, dovrebbe già aver provveduto anche alla relativa contestazione.

Negli altri casi emerge l’importanza:

  • della capacità di analisi precoce dell’autorità nazionale e, dunque, della disponibilità di modelli predittivi
  • di un’agile catena di comunicazione fra colui che, in sede ispettiva o cartolare, abbia rilevato l’evento e la struttura deputata a valutarne le caratteristiche ai fini della decisione di inoltrare la segnalazione e
  • di strumenti (possibilmente condivisi in tutta l’area UE) per la stima della rilevanza (materiality).

Infatti, la carenza da segnalare alla banca dati centrale, oltre all’ipotesi in cui consista in una violazione già individuata (breach), potrà concretizzarsi anche nel caso in cui:

  • l’autorità abbia ragionevoli motivi per sospettare che il soggetto obbligato ha violato un obbligo AML/CFT (potential breach), o che
  • la norma relativa ad un obbligo AML/CFT o il complesso delle politiche interne e delle procedure poste a presidio di tale profilo di rischio siano applicate in maniera inefficace o inadeguata (ineffective or inappropriate application) rispetto al risultato a cui tale norma e/o tale politica sono finalizzati, potendosi il tal modo determinare nel futuro una vera e propria violazione (breach) o anche una probabile violazione (potential breach).

Nel caso di evento inquadrabile come ineffective or inappropriate application non sorge l’obbligo segnaletico alla “Banca dati EBA” nell’ipotesi in cui la “situazione è stata risanata”: pertanto, per giustificare il mancato inoltro della segnalazione, non è sufficiente che l’autorità nazionale rilevi che l’operatore si sia attivato per sanare l’inefficacia o l’inadeguatezza del proprio comportamento ma è necessaria la prova positiva della messa in atto di interventi organizzativi che abbiano sortito l’effetto concreto di riassestare il sistema dei presidi (qualora la vicenda abbia riguardato un obbligo specifico) e delle politiche aziendali (qualora la segnalazione sia giustificata da modalità di messa in atto di queste ultime).

Le due ipotesi sopra menzionate (rispettivamente lettere b) e c) dell’articolo 2, paragrafo 1 del “Regolamento”) fanno, sostanzialmente, riferimento al caso in cui la violazione sia stata ravvisata dall’autorità, il processo di accertamento e contestazione sia ancora in nuce o in corso di svolgimento ma sussistano elementi di giudizio tali da far ritenere ragionevole che lo stesso si concluda negativamente per il soggetto obbligato.

Ulteriore ipotesi prevista dall’articolo 2, lettera b del “Regolamento” è quella del “tentativo” di violare uno degli obblighi AML/CFT.

Se le ipotesi di violazione accertata (breach) e di “applicazione inefficace o inadeguata” (potential breach) potranno essere anche frutto di condotte “colpose” dell’operatore, quindi, non intenzionalmente finalizzate a disattendere la norma che prevede l’obbligo AML/CFT o le politiche e le procedure interne, il caso del “tentativo” implica l’intenzionalità delle condotte che, parafrasando il legislatore penale, per essere rilevanti in questa sede dovranno essere dirette in modo non equivoco[9] alla commissione della violazione.

Uno dei casi nei quali potrà ricorrere l’ipotesi della tentata violazione da segnalare alla “Banca dati EBA” è quello in cui l’autorità sottoposta all’obbligo segnaletico sia venuta a conoscenza direttamente, nell’ambito di controlli in loco o di tipo cartolare, o per il tramite degli organi aziendali del soggetto segnalato, di attività preparatorie poste in essere in un momento anteriore all’inizio dell’esecuzione del disegno criminoso ancora incompiuto, ma già potenzialmente idonee a produrre la violazione dell’obbligo AML/CFT e contemporaneamente rivelatrici in modo non equivoco dell’intenzione di commetterla.

Considerate le finalità perseguite con l’istituzione della base dati centrale e il concetto stesso di “carenza” nelle sue diverse articolazioni (breach, potential breach incluso il tentativo e ineffective or inappropriate application) l’espressione “operatore” dovrebbe essere intesa tanto con riferimento a condotte del personale dipendente o di agenti, quanto con riferimento agli organi di vertice o ai membri degli stessi che, consapevolmente, nell’interesse esclusivamente proprio o dell’operatore di appartenenza[10], o anche involontariamente, ad esempio a causa dello scarso spessore dell’attività di formazione o di inadeguati flussi informativi di cui siano stati destinatari, abbiano violato o tentato di violare uno degli obblighi AML/CFT.

2.2 Il requisito della “rilevanza” o “materiality” della carenza

Il “Regolamento” stabilisce che

  • solo le informazioni relative a carenze rilevanti possono essere incluse nella “Banca dati EBA” e che
  • le carenze siano rilevanti in quanto riguardino solo gravi inadempienze di uno qualsiasi degli obblighi in materia di AML/CFT: tale condizione garantirebbe, secondo il regolatore unionale, che il trattamento dei dati a norma del “Regolamento” resti nell’ambito di quanto necessario e proporzionato rispetto alla finalità perseguita[11].

Nel tentativo, quindi, di evitare che la “Banca dati EBA” venga resa inefficace da una moltitudine di segnalazioni relative a violazioni di scarso spessore il regolatore unionale si è affidato al criterio “sostanzialistico” della “gravità” dell’inadempienza affidandone la declinazione ad un elenco, comunque non esaustivo, di criteri descritti dall’articolo 3, paragrafo 2, del “Regolamento”, al ricorrere dei quali sorge a carico dell’autorità nazionale l’obbligo di inoltro delle informazioni alla “Banca dati EBA”.

Si tratta di criteri non univoci, che lasciano quindi spazio alle valutazioni delle autorità nazionali chiamate a verificare il ricorrere di fattori temporali che caratterizzano la carenza (ripetitività e durata), l’eventuale carattere eclatante della violazione, la riconducibilità o meno della carenza a comportamenti negligenti dell’operatore che, pur a conoscenza dell’evento, non vi ha posto rimedio, o dolosi concretizzatisi nell’adozione di decisioni deliberatamente volte a causare la carenza, l’ampiezza dell’impatto della carenza sull’esposizione dell’operatore a rischi di ML/TF, sulla sostenibilità economica dell’operatore stesso o del gruppo di appartenenza, sul regolare funzionamento dei mercati finanziari o sull’integrità, trasparenza e sicurezza del sistema finanziario di uno Stato membro o dell’Unione nel suo complesso o sulla loro stabilità (v. figura 2).

Fig.2

3. Le “Autorità segnalanti” e le modalità pratiche di raccolta delle informazioni

Le informazioni destinate ad alimentare la “Banca dati EBA” devono essere fornite:

  • dalle “autorità segnalanti”, di loro iniziativa o su richiesta della stessa banca dati centrale
  • dall’Autorità europea dei sistemi finanziari e dei mercati e dall’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (d’ora innanzi rispettivamente, ESMA e EIOPA), esclusivamente su richiesta dell’EBA[12].

Le “autorità segnalanti” sono suddivise in sei tipologie (v. figura 3):

  1. Autorità AML/CFT[13];
  2. Autorità di vigilanza prudenziale[14];
  3. Autorità di vigilanza sugli istituti di pagamento[15];
  4. Autorità sull’esercizio delle attività[16];
  5. Autorità di risoluzione[17];
  6. Autorità designata[18].

Fig.3

Per ciascuna di esse il “Regolamento” (allegato I, casistica delle situazioni), individua l’ambito nel quale possono essere riscontrate le carenze da segnalare.

Ad esempio, è stabilito che le Autorità AML/CFT debbano segnalare le carenze eventualmente individuate, nel corso dell’attività ispettiva o cartolare svolta nei seguenti ambiti: adeguata verifica e valutazione dei rischi, segnalazione di operazioni sospette, obblighi di conservazione, sistemi e controlli interni, sistema di gestione del rischio ivi inclusa l’attività di autovalutazione, politiche e procedure di gruppo ivi incluse le politiche di condivisione delle informazioni all’interno del gruppo.

Un caso particolare è quello delle Autorità di vigilanza prudenziale, per le quali il “Regolamento” delinea due distinte tipologie di attività nell’ambito delle quali sarà possibile rilevare incidentalmente violazioni (nell’accezione di breach, potential breach, ineffective or inappropriate application) degli obblighi AML/CFT da portare a conoscenza della banca dati centrale:

  • la prima tipologia è costituita dalle attività connesse ai processi autorizzativi (ad esempio, processi di valutazione della professionalità e onorabilità dei membri dell’organo di gestione e dei titolari di funzioni chiave) e di valutazione delle richieste di acquisto di una partecipazione qualificata;
  • la seconda tipologia è rappresentata dall’attività di vigilanza ispettiva o cartolare: ad esempio, gli accertamenti ispettivi o cartolari in materia di rischi operativi, o di gestione della liquidità, oppure sugli accordi di esternalizzazione potrebbero portare all’individuazione da parte dell’Autorità di vigilanza prudenziale di carenze da segnalare alla “Banca dati EBA”.

* * *

Considerato l’elevato numero di autorità segnalanti e al fine di conseguire l’efficienza in termini di operatività e costi, il “Regolamento” prevede l’adozione di un approccio “sequenziale” in base al quale alcune delle autorità che rientrano nel novero delle “segnalanti” avranno un accesso diretto alla “Banca dati EBA” ed altre indiretto per il tramite della “segnalante diretta”, fermo restando il principio secondo il quale l’autorità che effettua indirettamente la trasmissione rimane l’unica responsabile dell’adempimento dell’obbligo di segnalare le carenze rilevanti e le conseguenti misure adottate.

Lo stesso “Regolamento” attribuisce all’EBA il compito di individuare le autorità che effettuano “indirettamente” (cioè per il tramite di altra autorità) la trasmissione[19], mentre, sempre dal “Regolamento”, parrebbe già potersi desumere che, di norma, il ruolo di interlocutore diretto debba spettare all’autorità nazionale AML/CFT[20].

Le informazioni dovranno essere trasmesse per via elettronica: al riguardo il “Regolamento” ha già attribuito all’EBA il compito di stabilire le specifiche tecniche (ivi incluso il formato per lo scambio dei dati) e comunicarle al sistema unitamente alle relative istruzioni.

La trasmissione delle informazioni alla “Banca dati EBA” avverrà in inglese e gli eventuali documenti giustificativi non disponibili in tale lingua potranno essere presentati nella lingua originale ma accompagnati da una sintesi in inglese.

4. Le informazioni che devono essere fornite dalle autorità segnalanti

L’articolo 4 del “Regolamento” stabilisce che le autorità debbano segnalare, in ordine alla carenza rilevante, tre tipi di informazioni (figura 4):

Fig.4

a. informazioni generali, che si possono definire anagrafiche o di contesto.

Esse infatti comprendono, oltre ai dati identificativi del soggetto segnalante e dell’operatore presso il quale si è verificato o si possa verificare l’evento – ivi inclusa la tipologia dell’operatore e dello stabilimento eventualmente interessato alla carenza rilevante – ogni altra informazione pertinente[21].

Più in dettaglio, per quanto attiene all’operatore, occorrerà comunicare il suo profilo di rischio ML/FT[22], informazioni sull’entità delle sue attività[23] e se lo stesso appartenga o meno ad un gruppo, fornendo, in quest’ultimo caso, dettagli circa l’entità controllante.

Sempre con riferimento all’operatore, andranno trasmessi alla “Banca dati EBA” i risultati di qualsiasi processo di revisione prudenziale nell’ambito del quale incida l’esposizione al rischio ML/FT, nonché informazioni relative a qualsiasi valutazione o decisione negativa in merito a una domanda di autorizzazione, ivi incluso il caso in cui un membro dell’organo di gestione non soddisfi i requisiti di professionalità e onorabilità.

In quest’ultima ipotesi, l’utilizzo da parte della Commissione dell’espressione “…compreso il caso in cui tale valutazione o decisione sia basata su motivi di riciclaggio o di finanziamento del terrorismo” dovrebbe indurre a ritenere sussistente un interesse generale da parte dell’EBA a conoscere le ragioni di ogni decisione negativa (quindi non solo per ragioni attinenti a fattori di ML/FT) assunta a valle di tutti i processi autorizzativi, soluzione sostanzialmente incomprensibile[24],come del resto tale risulta anche la limitazione delle informazioni da trasmettere ai soli casi di mancata rispondenza ai requisiti di professionalità e onorabilità da parte dei membri dell’organo di gestione e non degli “esponenti” in generale o dei “key function holders”.

b. informazioni sulle carenze rilevanti.

Oltre alla descrizione della carenza, dovrà essere precisato se la stessa sia riconducibile alla fattispecie breach, potential breach o ineffective or inappropriate application, il motivo in base al quale l’autorità segnalante la ritenga “rilevante”, il momento in cui si è realizzata e quale sia la fonte che l’abbia portata a conoscenza dell’autorità segnalante, l’obbligo AML/CFT violato, i prodotti, i servizi e le attività interessati dalla carenza (anche se questi siano ancora nella fase di progettazione), se la carenza riguardi un rischio “emergente” e se sia connessa ad una nuova tecnologia.

c. informazioni sulle misure adottate.

Per misura adottata si deve intendere qualsiasi misura (azione, intervento, provvedimento) di vigilanza e amministrativa, sanzione e penalità, comprese misure di tipo cautelare o temporaneo, adottate dall’autorità segnalante in risposta a una carenza ritenuta rilevante.

Queste informazioni devono comprendere, oltre alla descrizione della tipologia della misura (incluso l’eventuale numero di riferimento, l’indicazione del link nel caso si sia provveduto alla sua pubblicazione e i riferimenti giuridici), lo stato della misura (ad esempio ancora in corso di irrogazione, in scadenza o da applicare), ivi inclusi gli eventuali ricorsi presentati e tutte le informazioni inerenti le azioni correttive e la tempistica per porre rimedio alla carenza.

* * *

Oltre al primo inoltro delle informazioni, le autorità segnalanti hanno l’obbligo di tenere aggiornata la “Banca dati EBA” mediante la trasmissione di ogni altro dettaglio circa eventuali successivi sviluppi della vicenda oggetto di segnalazione.

5. Le informazioni sulle persone fisiche

In alcuni casi il “Regolamento” prevede che le informazioni da registrare riguardino persone fisiche. Si tratta delle seguenti ipotesi:

  1. l’autorità nazionale di vigilanza prudenziale adotta una decisione negativa in ordine alla partecipazione di un soggetto all’organo di gestione in quanto il nominativo in parola non soddisfa i requisiti di professionalità e onorabilità, compreso il caso in cui tale valutazione sia basata su motivi di riciclaggio o di finanziamento del terrorismo (articolo 5, paragrafo 2, lett. b);
  2. la carenza rilevante risulta correlata a specifiche persone fisiche: cliente, titolare effettivo, membro dell’organo di gestione o titolare di una funzione chiave (articolo 6, lett. m)[25];
  3. le misure adottate per mitigare o sanare la carenza hanno come destinatari persone fisiche (articolo 7, lett. d, iv. supra, paragrafo 4, lett.c);
  4. la banca dati centrale chiede a ESMA e EIOPA informazioni, supplementari relative a persone fisiche, necessarie per l’analisi delle informazioni già ricevute in conformità al “Regolamento” (articolo 9, paragrafo 3).

In un caso è previsto che sia la stessa banca dati centrale a dover fornire informazioni relative a persone fisiche: si tratta dell’ipotesi di richiesta avanzata da una delle autorità segnalanti per ottenere informazioni sugli operatori finanziari, ma comprensive di dati relativi a persone fisiche, pertinenti per le attività dell’autorità istante in materia di prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo, (articolo 10, paragrafo 1, lett. a e paragrafo 3).

Per tutti questi casi, il dettaglio dei dati da fornire è contenuto nell’allegato II al “Regolamento”che prevede set informativi diversi a seconda della tipologia della persona fisica: nel caso in cui i dati riguardino il cliente o il titolare effettivo, occorrerà fornire il nome e il cognome, la data di nascita, il paese di residenza, la nazionalità e dovrà essere indicato se il cliente o il titolare effettivo è o è stato un membro dell’organo di gestione oppure titolare di una delle funzioni chiave presso l’operatore del settore finanziario o una succursale dello stesso.

Fra le informazioni da comunicare vi è anche quella relativa alla partecipazione eventualmente detenuta, allo stato o in passato, direttamente o indirettamente, dal cliente o dal titolare effettivo, nel capitale dell’operatore e se il cliente sia classificato da questi “ad alto rischio”.

Qualora la carenza sia correlata a membri dell’organo di gestione o a titolari di funzioni chiave, oltre ai dati anagrafici e alla nazionalità andrà comunicata la funzione svolta presso l’operatore (o la succursale).

Infine, riguardo alle persone fisiche e ai relativi dati da trasmettere, il “Regolamento” sottolinea l’importanza delle informazioni attinenti a condanne penali o a casi caratterizzati dal semplice sospetto di illeciti penali commessi dal cliente, da un titolare effettivo, da un membro dell’organo di gestione o dal titolare di funzioni chiave in quanto fatti potenzialmente indicativi dell’assenza di onestà e integrità oppure della presenza di rischi ML/TF e, quindi, fatti che potrebbero costituire causa o concausa di carenze rilevanti[26]. Pertanto il tracciato della segnalazione relativo ai dati indicati nell’allegato II dovrebbe includere anche campi liberi per le informazioni riguardanti casi sospetti di illeciti penali o le ipotesi di condanne penali.

6. Utilizzo e messa a disposizione delle informazioni raccolte nella “Banca dati EBA”

Secondo le indicazioni presenti nel “Regolamento la “Banca dati EBA” svolge il ruolo di supporto al compito di guida, coordinamento e monitoraggio proprio dell’EBA per promuovere l’integrità, la trasparenza e la sicurezza del sistema finanziario al fine di impedirne l’uso a fini di riciclaggio o finanziamento del terrorismo[27].

La “Banca dati EBA” si propone, quindi, come strumento di raccolta, analisi e messa a disposizione delle proprie informazioni.

L’attività di analisi rappresenta quella a più ampio respiro e maggiormente impegnativa, sebbene, la sua concreta estensione debba essere declinata nell’ambito di limiti desumibili dall’applicazione del principio dell’approccio al rischio[28].

Nel corso di questa attività di analisi l’EBA potrà incrociare le informazioni ricevute in base al “Regolamento”non ultime quelle sulle persone fisiche (v. supra, paragrafo 5) – con le altre di cui dispone in relazione ai propri compiti in tema di AML/CFT.

In particolare, i risultati dell’analisi aggregata dei dati consentirà all’EBA di orientare il parere che è chiamata a formulare ogni due anni[29] sui rischi ML/TF del settore finanziario dell’Unione ed effettuare, con la partecipazione delle autorità di vigilanza nazionali, le valutazioni delle strategie, delle capacità e delle risorse impiegate dalle stesse per affrontare i più importanti rischi emergenti nell’ambito dell’Unione che siano stati individuati nella valutazione sovranazionale[30].

Oltre a ciò, i dati raccolti potranno essere utilizzati per corrispondere alle eventuali richieste pervenute dalle singole autorità nazionali segnalanti.

A queste ultime è consentito, infatti, l’invio di richieste motivate e pertinenti la loro attività AML/CFT per ottenere informazioni sugli operatori del settore finanziario[31].

In tal caso, l’EBA è tenuta a valutare le richieste e a soddisfarle tempestivamente sempre che l’autorità istante abbia dimostrato di avere interesse a conoscerle.

Qualora l’EBA non fornisca le informazioni ne dovrà dare notizia all’autorità richiedente spiegandone il motivo.

Inoltre, è previsto che l’EBA comunichi all’autorità che abbia inizialmente fornito le informazioni richieste l’identità dell’autorità istante, l’identità dell’operatore del settore finanziario interessato, il motivo della richiesta di informazioni e se queste siano state fornite o meno.

Oltre che su richiesta, l’EBA può divulgare le informazioni anche di propria iniziativa, ma solo in due specifici casi:

  • sia stato istituito un collegio di autorità, ad esempio per lo svolgimento delle attività di vigilanza consolidata, ma le informazioni sulle carenze rilevanti imputabili a un operatore rientrante nella competenza del collegio non siano state portate a conoscenza di quest’ultimo e, al contrario, l’EBA ritenga le informazioni pertinenti per il collegio;
  • non sia stato istituito alcun collegio, ma l’operatore cui è imputabile la carenza rilevante fa parte di un gruppo transfrontaliero con caratteristiche tali da far ritenere all’EBA che le informazioni siano pertinenti anche per le autorità di vigilanza dei paesi ove opera il gruppo tramite succursali, agenti o distributori.

Infine, oltre a quanto previsto espressamente dal “Regolamento” in tema di divulgazione delle informazioni, il Regolamento 1093 del 2010 prevede che, ove opportuno, l’EBA possa trasmettere alle autorità giudiziarie nazionali e alle autorità competenti dello Stato membro interessato, ai sensi delle norme procedurali nazionali, le informazioni in suo possesso che possano dar luogo a un procedimento penale e se del caso, può anche trasmettere alla Procura europea gli elementi di prova che riguardano reati che rientrano nella competenza di quest’ultima[32].

7. Profili di riservatezza

L’articolo 13 del “Regolamento” richiama per le tre autorità europee, EBA, EIOPA e ESMA, gli obblighi in tema di segreto professionale, protezione dei dati nonché le regole in materia di accesso ai relativi documenti (rispettivamente articoli 70, 71 e 72 dei regolamenti UE 1093, 1094 e 1095 del 2010).

Quanto all’EBA, l’articolo 70 del Regolamento 1093/2010 stabilisce che i membri del consiglio dell’autorità di vigilanza e tutto il personale, ivi inclusi i funzionari temporaneamente distaccati dagli Stati membri e tutte le altre persone che svolgono compiti su base contrattuale, sono soggetti, anche dopo la cessazione dalle loro funzioni e fatti salvi i casi rilevanti per il diritto penale, all’obbligo del segreto professionale conformemente all’articolo 339 Trattato sull’Unione europea[33].

L’unica modalità di divulgazione delle informazioni contenute nella “Banca dati EBA” è quella della c.d. “forma sintetica o aggregata” in modo che non siano individuabili i singoli operatori cui i dati si riferiscono. Questa regola, ovviamente, non trova applicazione quando la denominazione in chiaro dell’operatore sia specificamente chiesta da un’autorità nazionale ai sensi dell’articolo 10, lett. a del “Regolamento” in quanto necessaria allo svolgimento delle proprie funzioni in materia di AML/CFT.

Sempre l’articolo 13 del “Regolamento” prevede che le autorità nazionali riceventi possano utilizzare le informazioni esclusivamente per finalità di prevenzione dell’uso del sistema finanziario per riciclaggio o finanziamento del terrorismo ma possano anche comunicare quelle già ricevute dall’EBA ad altre entità rientranti nel novero delle “autorità segnalanti[34].

Quanto alla possibilità che le informazioni ricevute da un’autorità segnalante possano essere condivise con la corrispondente FIU nazionale – che, come noto, non rientra nel novero delle autorità segnalanti – nel nostro Ordinamento l’articolo 12, c.2 del d.lgs 231/2007 (Collaborazione e scambio di informazioni tra autorità nazionali) prevede che per le finalità dello stesso decreto, le autorità di cui all’articolo 21, comma 2, lett. a del d.lgs 231/2007 (tra le quali rientrano sia la Banca d’Italia quale autorità di vigilanza di settore, sia la UIF), collaborano tra loro scambiando informazioni, anche in deroga all’obbligo del segreto d’ufficio.

Pertanto la FIU per l’Italia potrà accedere alle informazioni eventualmente necessarie per lo svolgimento dei compiti affidatile ex articolo 6, dlgs 231/2007 che siano già in possesso della Banca d’Italia (autorità segnalante) in quanto ottenute dalla “Banca dati EBA” mentre è in dubbio se possa effettuare una richiesta per il tramite della Banca d’Italia se quest’ultima non riesca a rappresentare all’EBA la sussistenza anche di un proprio interesse.

In ogni caso ai sensi dell’articolo 70 del Regolamento 1093/2010 ogni autorità che riceva informazioni dalla “Banca dati EBA” dovrà dotarsi di una regolamentazione specifica a tutela della riservatezza dei dati ottenuti.

Le informazioni acquisite ai sensi del “Regolamento” potranno essere conservate dall’EBA per un massimo di dieci anni dalla data della raccolta, ma è altresì previsto che annualmente venga condotta una ricognizione per valutare, caso per caso, la necessità della conservazione dei dati e, eventualmente, procedere alla loro cancellazione prima della scadenza del termine ordinario.

8. EBA o AMLA: i rapporti fra le banche dati delle due autorità

Il 14 febbraio 2024 il Comitato dei rappresentanti permanenti UE o Coreper (acronimo del francese Comité des Représentants Permanents)[35] ha approvato la versione condivisa dei seguenti testi:

  • proposta di regolamento (2021/0239 COD) sulla prevenzione dell’uso del sistema finanziario a fini di riciclaggio di denaro o di finanziamento del terrorismo;
  • proposta di regolamento (2021/0240 COD) che istituisce l’Autorità antiriciclaggio e lotta al finanziamento del terrorismo e modifica i regolamenti (UE) n. 1093/2010, (UE) 1094/2010, (UE) 1095/2010;
  • proposta di Direttiva (2021/0250 COD) sui meccanismi che gli Stati membri dovranno porre in essere per la prevenzione dell’uso del sistema finanziario a fini di riciclaggio di denaro o di finanziamento del terrorismo e che abroga la Direttiva (UE) 2015/849.

Queste proposte, trasmesse il 16 febbraio 2024 al Presidente della Commissione del Parlamento Europeo per i problemi economici e monetari (Committee on Economic and Monetary Affairs, ECON), rappresentano la versione avanzata degli atti preannunciati a luglio 2021 noti come “AML Package”.

8.1 Central AML/CFT database dell’AMLA

Con riferimento all’argomento in corso di trattazione, di particolare rilievo risulta il regolamento 2021/0240 COD per l’istituzione dell’Anti Money Laundering Authority (d’ora innanzi AMLA) che svolgerà la funzione di Autorità antiriciclaggio europea[36].

Dopo la prima versione di questo regolamento pubblicata il 20 luglio 2021 e il parere della Banca centrale europea del 16 febbraio 2022, seguito da una seconda versione del 29 giugno 2022, quella inviata dal Coreper alla Commissione del Parlamento europeo per l’economia (ECON) il 16 febbraio 2024 rappresenta un testo che ragionevolmente si può ritenere, se non quello definitivo, almeno in un buono stato di avanzamento.

Come nella versione precedente, quest’ultima prevede all’articolo 1, paragrafo 1, lettere d) e e) che l’AMLA debba istituire e mantenere aggiornata un Central AML/CFT database alimentato da informazioni – trasmesse dalle autorità di vigilanza nazionali – che dovranno essere analizzate e, solo se necessario e in modo da garantirne la riservatezza, condivise con le altre autorità.

A questo Central AML/CFT database la proposta del regolamento AMLA dedica l’articolo 11 che limita l’ambito delle informazioni che lo alimenteranno a quelle acquisite dall’AMLA nello svolgimento della propria attività di vigilanza diretta (area of direct supervision).

A tal proposito, occorre brevemente rammentare che l’attività di vigilanza diretta (direct supervision) verrà svolta dall’AMLA solo nei confronti di un novero contenuto di enti creditizi, finanziari e gruppi “selezionati”, tali in quanto individuati secondo regole di listing esplicitate negli articoli 12 e 13 del futuro regolamento AMLA[37].

L’articolo 12 del regolamento AMLA, rubricato “Valutazione degli enti creditizi e finanziari ai fini della selezione per la vigilanza diretta” stabilisce che, ai fini dello svolgimento dei compiti attribuiti all’AMLA, questa di concerto con le autorità nazionali di vigilanza finanziaria debba effettuare periodicamente una valutazione degli enti creditizi e finanziari e dei gruppi di enti creditizi e finanziari che operino in almeno “sei Stati membri” (erano sette nella precedente versione).

Il calcolo dei “sei Stati membri avverrà in maniera diversa a seconda che l’operatività dell’ente si svolga tramite stabilimenti o in regime libera prestazione di servizi:

  • nel primo caso (attività tramite stabilimenti), nel calcolo per soddisfare il parametro dei sei Stati membri si deve considerare anche lo Stato d’origine;
  • nel secondo caso (operatività in regime di libera prestazione di servizi) si devono calcolare solo gli Stati membri diversi da quello in cui è stabilita la sede legale del soggetto obbligato.

Tutti i soggetti, siano essi enti creditizi o finanziari o gruppi di enti, che superano questo primo parametro dimensionale saranno sottoposti ad una seconda valutazione avente ad oggetto il livello della loro esposizione al rischio di riciclaggio che potrà assumere uno dei quattro seguenti valori, basso, medio, notevole o elevato (low, medium, substantial, high), da calcolarsi sulla base di regole metodologiche che terranno conto di specifici parametri, pur essi previsti dal regolamento AMLA[38]

Queste regole metodologiche saranno predisposte a cura della stessa AMLA che dovrà presentarle per l’approvazione alla Commissione UE entro il 1° gennaio 2026 (articolo 12, paragrafo 5).

Il compito di calcolare concretamente il livello di rischio, sia residuo che intrinseco, sarà attribuito all’AMLA che lo eseguirà sulla base delle informazioni fornite dalle autorità di vigilanza nazionali.

Successivamente l’AMLA sarà chiamata a riesaminare almeno ogni tre anni i parametri di riferimento e la metodologia e, ove siano necessari mutamenti, è tenuta a presentare alla Commissione UE un progetto di modifica.

Una volta applicati questi criteri (operatività in almeno sei stati membri e livello elevato di rischio), se il numero degli enti risultasse superiore a quaranta o ad altro fissato dall’AMLA[39] occorrerà strutturare una graduatoria tenendo presenti in sequenza due ulteriori parametri:

  • si prendono in considerazione gli operatori che svolgono la loro attività, tramite stabilimenti o in regime di libera prestazione di servizi, nel maggior numero di Stati membri; se anche dall’applicazione di questo parametro il numero degli operatori selezionati fosse superiore a quaranta
  • si considerano quelli che presentano il rapporto più elevato tra il volume delle transazioni con paesi terzi e il volume totale delle transazioni nell’ultimo esercizio finanziario[40].

Ciò premesso, fra le due banche dati, quella prevista dal “Regolamento” e quella di cui all’articolo 11 del regolamento AMLA si ravvisano similitudini e differenze (cfr. tabella 1).

Con riferimento alle prime, la “Banca dati EBA”, come già più volte rimarcato, avrà quale contenuto informazioni relative ad eventi classificabili “carenze rilevanti” nonché le eventuali misure adottate al riguardo.

Similmente, per Banca dati AMLA l’articolo 11 della relativa proposta di regolamento prevede, che le autorità nazionali debbano comunicare, le misure amministrative adottate e le sanzioni pecuniarie imposte nel corso della vigilanza…in risposta a violazioni dei requisiti AML/CFT…” unitamente ai motivi di irrogazione e alle relative informazioni sull’attività di vigilanza e sugli esiti che hanno portato all’irrogazione del provvedimento amministrativo o della sanzione pecuniaria”.

Tuttavia, sebbene entrambe le banche dati raccoglieranno informazioni riconducibili all’inosservanza della normativa AML/CFT, mutano gli attributi che caratterizzano l’evento segnalato sia sotto il profilo dello spessore (materiality) che della sua articolazione tipologica.

Infatti, all’EBA andranno segnalate solo le “carenze rilevanti”, cioè quelle che presentano una o più fra le caratteristiche di “materialità” previste dall’articolo 3, paragrafo 2 del “Regolamento”, laddove, invece, l’AMLA non pone alcun limite: alla istituenda autorità antiriciclaggio europea andranno, quindi, trasmesse le informazioni relative a tutte le sanzioni, siano esse gravi, meno gravi o riconducibili a violazioni di mero carattere formale, irrogate ad uno dei soggetti selezionati.

E che questa scelta normativa debba ritenersi consapevole risulta dalla circostanza che la precedente versione del regolamento AMLA contenesse una formula più restrittiva prevedendo che avrebbero dovuto essere segnalate alla Banca dati AMLA le informazioni sulle “sanzioni adottate nel corso della vigilanza…in risposta a violazioni gravi, sistematiche o ripetute dei requisiti AMLA/CFT”.

Il venir meno di questa formula ha determinato, quindi, un ampliamento di non poco conto dell’obbligo segnaletico in favore dell’AMLA, il quale per contro dovrebbe restare, di norma, circoscritto a vicende riguardanti un novero ristretto di soggetti (quaranta) mentre non è stato fissato alcun limite per le segnalazioni alla Banca dati AMLA.

Peraltro, come già evidenziato, l’oggetto della segnalazione alla banca dati EBA è molto più articolato rispetto a quanto dovrebbe essere segnalato all’AMLA, comprendendo non soltanto le informazioni relative ad un evento già qualificabile come una vera e propria violazione (breach) ma anche fatti prodromici (potential breach) incluso il tentativo di violazione e ineffective or inappropriate application indicativi di eventi futuri.

Quanto ad altre differenze, la “Banca dati AMLA non si limiterà ad acquisire informazioni attinenti alle carenze ma avrà un contenuto più ampio[41] giungendo a svolgere funzioni di anagrafe delle autorità AML/CFT degli Stati membri e a raccogliere informazioni sulle risorse, anche umane, a loro disposizione.

In entrambi i casi i soggetti di riferimento saranno gli operatori del settore finanziario: infatti, come si desume dal considerando 5 della proposta del regolamento AMLA, i compiti di vigilanza diretta di quest’ultima avranno come destinatari soggetti del settore finanziario ivi inclusi fornitori di servizi di crypto-asset[42].

Tab.1

8.2 Da EBA ad AMLA

Le rosee previsioni manifestate nella proposta di regolamento per l’istituzione dell’Autorità europea antiriciclaggio (AMLA) del 29 giugno 2022 si sono dimostrate troppo ottimistiche.

L’articolo 93 prevedeva, infatti, l’entrata in vigore di una serie di disposizioni sin dal 1° gennaio 2023 e dell’intero regolamento AMLA a far data dal 1° gennaio 2024[43] mentre l’attuale testo della proposta ne ha procrastinato l’entrata in vigore al 1° luglio 2025, salvo alcune norme, che dovrebbe entrare in vigore dopo soli venti giorni dalla pubblicazione del regolamento nella Gazzetta ufficiale dell’Unione Europea[44].

L’articolo 11 relativamente alla Banca dati AMLA è fra le disposizioni che entreranno in vigore dal 1° luglio 2025, mentre lo stesso articolo 93 contiene un’altra importante disposizione laddove è stabilito che l’articolo 89 del regolamento AMLA (Amendments to Regulation EU No 1093/2010) si applicherà a far data dal 31 dicembre 2025.

L’articolo da ultimo citato ha notevole importanza anche ai fini della Banca dati EBA in quanto abrogherà:

  • l’articolo 1, paragrafo 2, secondo comma, del regolamento 1093/2010, che richiama le competenze attribuite all’EBA ai sensi della direttiva (UE) 2015/849 e del regolamento (UE) 2015/847 nella misura in cui tale direttiva e tale regolamento si applicano agli operatori del settore finanziario;
  • sempre nell’ambito dell’articolo 1 del regolamento 1093/2010, la lettera h del paragrafo 5 ai sensi del quale “Nell’ambito delle proprie competenze, l’Autorità (EBA) contribuisce a… prevenire l’uso del sistema finanziario a fini di riciclaggio e di finanziamento del terrorismo”;
  • gli articoli 9 bis e 9 ter del regolamento 1093/2010, rispettivamente rubricati, con riferimento all’EBA, “Compiti specifici di prevenzione e di contrasto del riciclaggio e del finanziamento del terrorismo” e “Richiesta di indagine relativa alla prevenzione e al contrasto del riciclaggio e del finanziamento del terrorismo”.

Verrà meno, quindi, il ruolo di guida, di coordinamento e monitoraggio finalizzato a promuovere l’integrità, la trasparenza e la sicurezza nel sistema finanziario finora riservato all’EBA in base al paragrafo 1 del già citato articolo 9 bis.

Viepiù, l’abrogazione del paragrafo 2 dell’articolo 9 bis – norma posta alla base dell’istituzione della “Banca dati EBA” sulle carenze rilevanti nonché descrittiva delle diverse tipologie di eventi oggetto di segnalazione[45] – determinerà la fine nel medio periodo della competenza dell’EBA riguardo tale strumento come tra l’altro si desume dall’articolo 91 bis del regolamento AMLA.

Tale norma, assente nella precedente versione risalente a giugno 2022, detta disposizioni transitorie in merito ai rapporti fra l’EBA e l’AMLA sulla tematica delle rispettive banche dati stabilendo che, ai fini dell’istituzione e del mantenimento della banca dati di cui all’articolo 11 (“Banca dati AMLA”), l’AMLA dovrà concludere un accordo con l’EBA in materia di accesso ai dati, sul finanziamento con fondi messi a disposizione dell’AMLA e sulla gestione congiunta (joint management) della “Banca dati EBA”, dal ché dovrebbe desumersi che per un periodo transitorio questa sarà cogestita fra le due autorità ma la prospettiva è quella di unificarle affidandone la gestione all’AMLA stante la perdita di competenze dell’EBA nel comparto AML/CFT degli operatori finanziari.

Lo stesso articolo 91 bis stabilisce la transitorietà di tale situazione rimettendo la scadenza dell’accordo alla volontà di entrambe le autorità purché tale termine non si protragga oltre al 30 giugno 2027.

Durante il periodo transitorio l’EBA continuerà a volgere i propri compiti di ricezione, analisi e disseminazione delle informazioni come previsto dal “Regolamento” ma viene sottolineato che tale attività verrà finanziata dall’AMLA e avrà appunto carattere “transitorio”[46].

Il passaggio di competenze dall’EBA all’AMLA è, tra l’altro, attestato dalla circostanza che il compito, ora previsto dall’articolo 6, paragrafo 5 della Direttiva 2015/849 in capo all’EBA circa l’effettuazione di analisi aggregate dirette a formulare il parere biennale sui rischi ML/TF del settore finanziario dell’Unione, sarà attribuito dall’articolo 7, paragrafo 4, della prossima direttiva AML/CFT (2021/0250 COD) esclusivamente all’AMLA[47].

9. Dubbi e incertezze

Un’ultima domanda, sicuramente retorica: dopo essersi accasata a Francoforte, l’AMLA troverà il modo di far funzionare/fondere/integrare le informazioni contenute nelle banche dati a sua disposizione senza tradurle in un doppione l’una dell’altra?

La risposta non dipende solo dalla realizzazione di un’adeguata struttura organizzativa presso la autorità istituenda ma, in misura rilevante, anche dall’interpretazione che le autorità nazionali daranno alle norme contenute nel “Regolamento”.

Si pensi ad esempio non solo alla declinazione in concreto dei concetti di breach, potential breach e ineffective or inappropriate application, ma anche, a titolo di esempio, all’individuazione di quelli che nel “Regolamento” vengono indicati come “titolari di funzioni chiave” (key function holders), espressione che non trova riscontro in nessuno delle attuali proposte dell’AML Package.

A ciò si aggiungono altri piccoli dubbi: ad esempio, l’inoltro della segnalazione dovrà essere in qualche modo notificata anche all’operatore cui si riferisce?

Una risposta affermativa al riguardo, sebbene possa apparire in conflitto con il dovere di riservatezza, metterebbe a disposizione degli operatori un utile alert affinché si adoperino, ben prima di un intervento delle autorità, per rimediare alla carenza.

 

* Le opinioni espresse non impegnano l’Istituto di appartenenza.

[1] Final report on draft regulatory technical standards under Article 9a (1) and (3) of Regulation (EU) No 1093/2010 setting up an AML/CFT central database and specifying the materiality of weaknesses, the type of information collected, the practical implementation of the information collection and the analysis and dissemination of the information contained therein. EBA/RTS/2021/16, 20 December 2021. In argomento, G. Estrafallaces, Il Registro centrale europeo delle carenze AML/CFT, in Il diritto penale della globalizzazione, settembre – dicembre 2021, p. 217.

[2] Regolamento (UE) N. 1093/2010 del Parlamento europeo e del Consiglio del 24 novembre 2010 che istituisce l’Autorità europea di vigilanza (Autorità bancaria europea), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/78/CE della Commissione. L’articolo 9 bis è stato introdotto col Regolamento (UE) 2019/2175 del 18 dicembre 2019.

[3] Riguardo quest’ultima nozione, in assenza di una definizione specificamente formulata ai fini nel “Regolamento” si deve far ricorso a quella ex articolo 4, par.1 bis del regolamento (UE) 1093/2010 di cui l’atto in commento rappresenta un’integrazione.

Pertanto, ai sensi dell’articolo 4, par.1 bis, con l’espressione “operatore del settore finanziario” si deve intendere

  • ogni ente creditizio e ogni altro istituto finanziario ai sensi dell’articolo 2 della Direttiva 2015/849 (e quindi, ivi incluse le imprese di assicurazione e gli intermediari assicurativi se svolgono attività di assicurazione vita), oppure un
  • “partecipante ai mercati finanziari” ai sensi dell’articolo 4, punto 1, del Regolamento UE 1095/2010 (che istituisce l’Autorità europea di vigilanza degli strumenti finanziari e dei mercati) che, per rinvio (cfr. articolo 1, par.2), individua come tali le società che prestano servizi d’investimento e gli organismi d’investimento collettivo che commercializzano le proprie quote o azioni.

[4] Regolamento (UE) 1093/2010 cit.

[5] La valutazione circa la ricorrenza di queste qualità è rimessa dall’articolo 8, par.3 del “Regolamento” al giudizio dell’EBA che potrà, in caso di giudizio negativo, chiedere a quella segnalante l’invio, senza ritardo, di informazioni supplementari.

[6] Cfr. Considerando 4, Regolamento delegato (UE) 2024/595 cit. Indicativa di tale intento è la circostanza che la segnalazione potrà riguardare anche un prodotto, un servizio o un’attività ancora nella fase di progettazione da parte dell’operatore (v. articolo 6, lett. l del “Regolamento”)

[7] “…reasonable grounds to suspect”, cfr. Regolamento delegato (UE) 2024/595 cit., articolo 2, lett. b, espressione utilizzata dal legislatore unionale nella formuazione dell’articolo 33 della Direttiva 2015/849: “Member States shall require obliged entities, and, where applicable, their directors and employees, to cooperate fully by promptly: (a) informing the FIU, including by filing a report, on their own initiative, where the obliged entity knows, suspects or has reasonable grounds to suspect that funds…”.

[8] La violazione deve avere ad oggetto un qualsiasi obbligo in materia di prevenzione e contrasto dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo imposto dai regolamenti 1093, 1094 o 1095 del 2010 o da norme nazionali adottate in applicazioni delle direttive UE.

[9] In tal modo si esprime l’articolo 56 del codice penale.

[10] Si tratta, in sostanza, dell’ipotesi ex articolo 5, d.lgs 8 giugno 2001, n.231, Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica. Tra l’altro l’articolo 26 del decreto in parola prevede che le sanzioni pecuniarie e interdittive siano applicate (sebbene in forma ridotta) anche nell’ipotesi di tentativo con riferimento ai reati elencati dal decreto stesso.

[11] Cfr. Considerando 19, Regolamento delegato (UE) 2024/595 cit.

[12] Cfr. Regolamento delegato (UE) 2024/595 cit., articolo 9, par.3

[13] La nozione coincide con quella di “autorità di vigilanza di settore”, ruolo attribuito dall’articolo 1, c.2, lett. c, d.lgs 231/2007, per quanto attiene agli intermediari bancari e finanziari alla Banca d’Italia e all’IVASS.

[14] Questo compito è ripartito per quanto riguarda gli intermediari bancari e finanziari fra la Banca d’Italia e la BCE.

[15] Questa funzione è demandata alla Banca d’Italia ai sensi delle disposizioni presenti nel Titolo V–ter del decreto legislativo 1° settembre 1993, n. 385 recante il Testo Unico delle leggi in materia bancaria e creditizia (TUB).

[16] Con questa espressione si fa riferimento alle autorità incaricate di assicurare che gli operatori del settore finanziario rispettino le norme di condotta o il quadro per la protezione dei consumatori, attività che vengono svolte in questo Ordinamento dalla Banca d’Italia e dall’IVASS per gli operatori del settore finanziario.

[17] La Banca d’Italia è l’autorità di risoluzione e svolge i compiti di risoluzione e gestione delle crisi nei confronti degli intermediari bancari e non bancari attribuiti dalla legislazione nazionale (decreti legislativi n.180 e n. 181del 16 novembre 2015) di recepimento della direttiva 2014/59/UE (c.d. “Banking Recovery and Resolution Directive”, BRRD).

[18] In questo caso il riferimento è ai sistemi di garanzia dei depositi disciplinati dalla direttiva 2014/49/UE, recepita nel Testo Unico Bancario ai sensi del quale (art. 96-ter del d.lgs. 385/1993), la Banca d’Italia esercita specifici poteri di vigilanza nei confronti dei sistemi di garanzia dei depositanti.

[19] Cfr. Regolamento delegato (UE) 2024/595 cit., articolo 12, par.7.

[20] Cfr. Regolamento delegato (UE) 2024/595 cit., articolo 12, par.4.

[21] Rientrano fra queste l’indicazione in ordine alla eventuale presentazione da parte dell’operatore di una domanda di autorizzazione nell’ambito della procedura diretta ad esercitare il diritto di stabilimento o la libera prestazione di servizi o se sia in attesa di altre autorizzazioni da parte di altre autorità di vigilanza e se l’operatore sia soggetto ad una delle procedure di cui alla direttiva 2014/59 UE del 15 maggio 2014 che stabilisce norme e procedure per il risanamento e la risoluzione degli enti creditizi e delle imprese di investimento, o ad altre procedure di insolvenza.

[22] Il giudizio sul profilo di rischio formulato dall’autorità nazionale andrà necessariamente riconciliato con quelli riportati in una griglia (rischio poco significativo; rischio moderatamente significativo; rischio significativo; rischio molto significativo) riportata nell’allegato III del “Regolamento”.

[23] Ai sensi dell’articolo 5, par.1, lett. h del “Regolamento” queste informazioni devo comprendere se del caso: i) informazioni sui bilanci; ii) il numero di clienti; iii) il volume del patrimonio gestito; iv) per un’impresa assicurativa, i premi lordi contabilizzati annui e l’entità delle riserve tecniche; v) per un intermediario assicurativo, il volume dei premi intermediati; vi) per gli istituti di pagamento e gli istituti di moneta elettronica, le dimensioni della rete di distribuzione, comprese informazioni sul numero di agenti e distributori.

[24] Tra l’altro, l’allegato II del “Regolamento” prevede che in questo caso vengano trasmesse le informazioni anagrafiche della persona fisica e “i motivi del riciclaggio o del finanziamento del terrorismo” finendo per avallare la considerazione che la segnalazione debba essere limitata ai casi in cui il membro del board non sia più considerato compliant rispetto ai requisiti per ragioni attinenti ai profili ML/FT.

[25] In questo caso andranno indicati i motivi che hanno indotto l’autorità segnalante a ritenere sussistente tale correlazione.

[26] In tal senso, Considerando 19, Regolamento delegato (UE) 2024/595 cit.

[27] In tal senso, Considerando 10, Regolamento delegato (UE) 2024/595 cit.

[28] Cfr. Regolamento delegato (UE) 2024/595 cit., articolo 9, par.1.

[29] Direttiva (UE) 2015/849, articolo 6, par.5. Ma come si dirà in seguito nella proposta per la nuova direttiva AML/CFT, questa competenza passerà all’AMLA (v. infra, par.8.2).

[30] Regolamento (UE) N. 1093/2010 cit., articolo 9 bis, par.5.

[31] Regolamento (UE) N. 1093/2010 cit., articolo 9 bis, par.3 e Regolamento delegato 2024/595, articolo 10, par.1, lett.a.

[32] Regolamento (UE) N. 1093/2010 cit., articolo 9 bis, par.2.

[33] “I membri delle istituzioni dell’Unione, i membri dei comitati e parimenti i funzionari e agenti dell’Unione sono tenuti, anche dopo la cessazione dalle loro funzioni, a non divulgare le informazioni che per loro natura siano protette dal segreto professionale…”, Trattato sull’unione europea.

[34] Cfr. Regolamento delegato (UE) 2024/595 cit., articolo 13 par.4.

[35] Il Coreper, ai sensi dell’articolo 16, par.7 del Trattato sull’Unione europea e 240 par.1, del Trattato sul funzionamento dell’Unione europea, è responsabile della preparazione dei lavori del Consiglio dell’Unione, ruolo che svolge in via prevalente mediante la predisposizione di fascicoli sull’argomento di volta in volta preso in considerazione.

Ogni Stato membro dell’Unione europea è rappresentato nel Coreper da un rappresentante permanente e, in tale, ambito i membri del comitato cercano soluzioni condivise che saranno successivamente presentate e a loro volta condivise (o meno) dal Consiglio UE.

È compito del Coreper sottoporre al Consiglio orientamenti, opzioni o suggerimenti sugli argomenti sui quali predispone i fascicoli.

Inoltre, il Coreper ha il compito di assicurare la coerenza delle politiche e delle azioni dell’Unione, di vigilare sul rispetto dei principi e delle norme in materia di legalità, sussidiarietà, proporzionalità e motivazione degli atti, delle norme che stabiliscono le competenze di istituzioni, organi, uffici e agenzie dell’Unione europea, delle disposizioni di bilancio e delle norme procedurali, di trasparenza e di qualità redazionale.

[36] In argomento, G. Estrafallaces, Nuova Autorità Europea AML/CFT: compiti, poteri e governance, in questa rivista, settembre 2022.

[37] Per i soggetti obbligati non selezionati, la vigilanza AML/CFT rimarrà prevalentemente a livello nazionale, (cfr. Proposal for a regulation of the European Parliament and of the Council establishing the Authority for Anti-Money Laundering and Countering the Financing of Terrorism and amending Regulations (EU) No 1093/2010, (EU) 1094/2010, (EU) 1095/2010, Considerando 27)

[38] Cfr. Proposal for a regulation of the European Parliament and of the Council establishing the Authority cit., articolo 12, par.4.

[39] L’articolo 13, par.1 bis, del futuro regolamento AMLA stabilisce che l’Autorità, di concerto con le autorità di vigilanza nazionali, può concordare di limitare la selezione a uno specifico numero diverso di soggetti o gruppi superiore a 40. Nel decidere il numero di soggetti obbligati selezionati, l’Autorità deve tenere conto delle proprie risorse.

[40] Sono, inoltre, previsti criteri correttivi per i casi in cui i parametri generali non consentano di rilevare almeno un soggetto selezionato per ciascuno Stato membro.

La prima procedura di selezione prenderà avvio entro il 1° luglio 2027 e dovrà concludersi entro sei mesi. Le successive selezioni verranno effettuate ogni tre anni a decorrere dalla data di inizio della prima selezione.

È fatto obbligo all’AMLA pubblicare l’elenco dei soggetti selezionati.

[41] L’articolo 11, par.2 del regolamento AMLA stabilisce che le autorità nazionali di vigilanza debbano trasmettere alla base dati centrale almeno le seguenti informazioni:

a) un elenco di tutte le autorità di vigilanza e gli organismi di autoregolamentazione incaricati della vigilanza dei soggetti obbligati, comprese informazioni sul loro mandato, compiti e poteri;

b) statistiche sulle categorie e sul numero di soggetti obbligati vigilati per categoria in ciascuno Stato membro e informazioni sul profilo di rischio;

c) le misure amministrative adottate e le sanzioni pecuniarie imposte nel corso della vigilanza di singoli soggetti obbligati in seguito a violazioni di obblighi AML/CFT, accompagnate da:

(i) i motivi dell’irrogazione della misura o della sanzione;

(ii) le informazioni sull’attività di vigilanza e sugli esiti che hanno portato all’irrogazione del provvedimento amministrativo o della sanzione pecuniaria;

d) qualsiasi consulenza o parere relativo ai rischi ML/TF fornito ad altre autorità in relazione alle procedure di autorizzazione, revoca di autorizzazioni e a valutazioni di requisiti di professionalità e onorabilità degli azionisti o dei membri dell’organo di gestione;

e) esiti della valutazione del profilo di rischio intrinseco e residuo da parte delle autorità di vigilanza nazionale di tutti gli enti creditizi e finanziari che soddisfano i criteri di cui all’articolo 12, comma 1 (criterio dimensionale dell’operatività in almeno sei Stati membri);

f) risultati e relazioni di vigilanza riguardanti aree o attività ad alto rischio;

g) attività di vigilanza svolte nell’ultimo anno solare;

h) statistiche sul personale e sulle altre risorse proprie delle autorità di vigilanza e di controllo.

[42] Per quanto riguarda il settore non finanziario, l’AMLA avrà compiti di coordinamento e supervisione delle relative autorità di vigilanza, compresi gli organi di autoregolamentazione.

Più in dettaglio, in tema di oversight of non-financial sector, l’articolo 31 della proposta di regolamento istitutivo dell’AMLA prevede il potere di quest’ultima di effettuare – seguendo metodi che consentano una valutazione e un confronto oggettivi tra le autorità di vigilanza non finanziaria – peer review di alcune o di tutte le attività di queste ultime.

L’Autorità sviluppa metodi che consentano una valutazione e un confronto oggettivi tra le autorità di vigilanza non finanziaria esaminate.

[43] Proposal for a Regulation of the European Parliament and of the council establishing the Authority for Anti-Money Laundering and Countering the Financing of Terrorism and amending Regulations (EU) No 1093/2010, (EU) 1094/2010, (EU) 1095/2010, vers. 10507/1/22, 22 June 22.

Article 93. Entry into force and application

This Regulation shall enter into force the twentieth day following that of its publication in the Official Journal of the European Union.

It shall apply from 1 January 2024.

However, Articles 1, 4, 38, 42, 43, 44, 46, 56, 58, 86 and 87 shall apply from 1 January 2023.

This Regulation shall be binding in its entirety and directly applicable in all Member States.

[44] Proposal for a Regulation of the European Parliament and of the council establishing the Authority for Anti-Money Laundering and Countering the Financing of Terrorism and amending Regulations (EU) No 1093/2010, (EU) 1094/2010, (EU) 1095/2010, vers. 6713/24, 16 February 2024.

Article 93. Entry into force and application

This Regulation shall enter into force the twentieth day following that of its publication in the Official Journal of the European Union.

It shall apply from 1 July 2025.

However, Articles 1, 4, 38, 42, 43, 44, 46, 56, 58, 86, 87 and 92 shall apply from the twentieth day after publication of the Regulation in the Official Journal of the European Union and Article 89 shall apply from 31 December 2025.

[45] È infatti il regolamento 1093/2010 che opera la distinzione fra ““i) una violazione o una potenziale violazione…da parte di un operatore del settore finanziario; ii) un’applicazione inadeguata o inefficace … da parte di un operatore; o iii) un’applicazione inadeguata o inefficace, delle politiche e procedure interne intese ad assicurare il rispetto … da parte di un operatore del settore finanziario”.

[46] Proposal for a Regulation of the European Parliament and of the council establishing the Authority for Anti-Money Laundering and Countering the Financing of Terrorism and amending Regulations (EU) No 1093/2010, (EU) 1094/2010, (EU) 1095/2010, vers. 6713/24, 16 February 2024.

Article 91a Transitional arrangements:

For the purposes of establishing and maintaining the database referred to in Article 11, the Authority shall conclude a bilateral agreement with the European Banking Authority on access to, as well as the financing and the joint management of, the AML/CFT database established in accordance with Article 9a of Regulation EU (No) 1093/2010 (EuReCA). The arrangement shall be established for a mutually agreed period of time which can be extended until no later than 30 June 2027.

During this period, the European Banking Authority shall at least be able to continue receiving information, analysing it and making it available in accordance with Article 9a of Regulation EU (No) 1093/2010 or in accordance with this Regulation on behalf of the Authority and based on the financing made available by the Authority for this purpose”.

[47] Proposal for a Directive of the European Parliament and of the Council on the mechanisms to be put in place by the Member States for the prevention of the use of the financial system for the purposes of money laundering or terrorist financing and repealing Directive (EU) 2015/849.

Article 7 Supra-national risk assessment:

4. By [3 years after the date of transposition of this Directive], AMLA, in accordance with article 44 of Regulation [please insert reference to AMLA Regulation – 2021/0240(COD)], shall issue an opinion addressed to the Commission on the risks of money laundering and terrorist financing affecting the Union. Thereafter, AMLA shall issue an opinion every two years.

Leggi gli ultimi contenuti dello stesso autore
Approfondimenti
Antiriciclaggio

La nuova banca dati EBA sulle carenze antiriciclaggio

28 Maggio 2024

Giampaolo Estrafallaces, Consigliere Senior, Banca d’Italia

Il contributo analizza la nuova banca dati centrale EBA introdotta dal Regolamento UE 2024/595 relativa alle carenze degli operatori del settore finanziari rilevanti in materia di antiriciclaggio e contrasto al finanziamento del terrorismo AML/CFT.
Articoli
Vigilanza

Brevi note in materia di prodotti “dual use” per i destinatari degli obblighi AML/CFT

6 Luglio 2023

Giampaolo Estrafallaces, Consigliere senior della Banca d’Italia

Il tema del contrasto al traffico illecito di beni a duplice uso, che va inquadrato nel più ampio contesto della lotta al finanziamento dei programmi di sviluppo delle armi di distruzione di massa (CFP), richiede approfondite competenze tecnico-normative. I soggetti
Di cosa si parla in questo articolo
Vuoi leggere la versione PDF?
Vuoi leggere altri contenuti degli autori?

WEBINAR / 16 Gennaio
Value for money: nuova metodologia dei benchmark


Metodologia EIOPA 7 ottobre 2024 per prodotti unit-linked e ibridi

ZOOM MEETING
Offerte per iscrizioni entro il 13/12


WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12

Iscriviti alla nostra Newsletter