Il presente contributo affronta il tema delle adeguate verifiche “scadute” alla luce del contesto normativo nuovo e vigente.
L’obiettivo del presente contributo è di tentare di fornire una visione maggiormente efficiente del processo di aggiornamento dell’adeguata verifica della clientela ottenuta attraverso una lettura interpretativa della normativa attualmente vigente e di quella di prossima emanazione.
Partendo dalla normativa vigente, non c’è dubbio che il destinatario dovrà procedere all’adeguata verifica del cliente in fase di prima instaurazione del rapporto o per un rapporto occasionale. Infatti, il provvedimento di Adeguata verifica[1], parte seconda, sezione II recita: “I destinatari adempiono agli obblighi di adeguata verifica nei confronti dei nuovi clienti. In relazione ai clienti già acquisiti, i destinatari svolgono nuovamente l’adeguata verifica quando opportuno, in ragione dell’innalzamento del livello di rischio di riciclaggio e di finanziamento del terrorismo associato al cliente.” L’adeguata verifica culmina essenzialmente con l’attribuzione di un livello di rischio al cliente che caratterizzerà il modo di relazionarsi della banca nei suoi confronti fino a quando non interverranno variazioni. È possibile affermare che tale traguardo venga raggiunto in due step distinti. In un primo step, nell’esecuzione di un processo di adeguata verifica ordinario[2], il destinatario acquisisce una serie di informazioni sul cliente e le verifica arrivando ad una prima conclusione sulla “strada” procedurale da percorrere. Il risultato di tale attività può essere una delle due seguenti opzioni: i) la procedura ordinaria è di per se sufficiente e non necessita di ulteriori approfondimenti, oppure, ii) la procedura ordinaria non è sufficiente per esprimere un valore di rischio da associare al cliente e occorre procedere ad ulteriori verifiche (cd “rafforzate”).
In un secondo step di analisi, vengono ultimate le verifiche laddove necessarie e viene associato un profilo di rischio al cliente. Volendo semplificare sarebbe possibile sostenere quindi che, in un primo step, l’intermediario individui il percorso da seguire: semplificato, ordinario o rafforzato e in un secondo step, avvenga l’effettiva esecuzione del processo che porta alla determinazione del livello di rischio.
Spostando ora l’attenzione dall’osservazione di ciò che avviene in sede di instaurazione del rapporto per i nuovi cliente a quello che accade invece per i clienti “già acquisiti”, occorre ragionare sul periodo di tempo per il quale tale livello di rischio possa ritenersi valido e quindi sul momento in cui (cfr “quanto opportuno”) possa ritenersi “opportuno”, secondo il citato Provvedimento, procedere all’aggiornamento dell’adeguata verifica. Tale momento non è espressamente imposto dalla norma ma la sua determinazione viene lasciata all’autonoma valutazione del destinatario e tale valutazione dovrebbe basarsi proprio sulla circostanza che il rischio si sia “innalzato”. Ma come è possibile riscontrare un innalzamento del rischio se non si è proceduto all’esecuzione del processo che come esito ha proprio la determinazione del rischio stesso? In realtà, in assenza di una messa in esercizio di un processo di nuova acquisizione e verifica delle informazioni tipiche dell’adeguata verifica della clientela esistono delle evidenze che riescono a consentire di intercettare un innalzamento di rischio del cliente; le operazioni poste in essere dal cliente stesso con la banca.
Un innalzamento del rischio può sicuramente essere dedotto da un’osservazione di una operatività posta in essere dal cliente tramite il processo di monitoraggio che rappresenta proprio una fase dell’adeguata verifica della clientela. Se l’operatività posta in essere dall’ultima adeguata verifica, messa a confronto con l’operatività attesa in base alle informazioni acquisite nella fase della prima identificazione, o comunque della rilevazione ultima disponibile, evidenzia delle differenze positive in termini di rischio sarà necessario (o meglio “opportuno”) procedere ad una nuova adeguata verifica.
E’ possibile effettuare un parallelismo fra le fasi che si susseguono nel caso di un “nuovo cliente” e quelle che intervengono in fase di aggiornamento dell’adeguata verifica per i clienti “già acquisiti”. Così come per la prima istaurazione del rapporto, anche in fase di aggiornamento possiamo infatti immaginare due step:
- il primo step per individuare la corretta azione da porre in essere
- il secondo per porre in essere l’azione stessa
Più in particolare, seguendo sempre il parallelismo qui ipotizzato, possiamo affermare che l’esito del primo step sia:
- nel caso del “nuovo cliente”, come detto, l’individuazione del corretto processo di AVC (semplificato, ordinario, rafforzato)
- nel caso dell’aggiornamento del cliente “già acquisito”, la necessità (o meno) di procedere all’adeguata verifica[3], ad esempio perché si è riscontrato un innalzamento del rischio.
Il secondo step dovrebbe quindi in entrambi i casi essere rappresentato dalla determinazione del livello di rischio (mentre, come vedremo, la quasi totalità dei destinatari lo legano ad un processo statico che associa per ciascun livello di rischio la relativa scadenza dell’adeguata verifica).
In un processo di digitalizzazione mirato a raggiungere la piena efficienza operativa e volendo porsi l’obiettivo di non dare “in pasto” alla macchina digitale eventuali valutazioni che dovrebbero più opportunamente essere svolte dall’uomo, una soluzione operativa è rappresentata dalla possibilità di automatizzare il solo processo che porta all’individuazione della strada da percorrere, cd primo step nella nostra semplificazione, e lasciare l’attività puramente valutativa all’operatore (ai soli fini del presente contributo definito come “secondo step”) sebbene sappiamo bene che anche in questa seconda fase l’artificial intelligence potrebbe fornire un aiuto sostanziale allo scopo ma vogliamo volutamente evitare di proporre un approccio troppo dirompente (almeno per il momento!).
Soffermerei pertanto l’attenzione sul processo di aggiornamento del cliente “già acquisito” (c.d. “primo step”) per capire quali sono di fatto le considerazioni che gli operatori di mercato analizzano per decidere sulla necessità o meno di procedere ad operare una nuova adeguata verifica della clientela. In particolare, sarà interessante ragionare su quanto tale processo sia replicabile o addirittura potenziato, tramite l’utilizzo dell’intelligenza artificiale.
I destinatari a tal riguardo hanno a disposizione alcune limitate fonti informative che possono sostanzialmente essere riassunte nelle seguenti fattispecie:
- transazioni;
- eventuali segnalazioni intervenute;
- eventuali variazioni del titolare effettivo (nell’ipotesi in cui il destinatario abbia attivato un monitoraggio automatico dello stesso);
- inserimento in liste.
Nelle diffuse prassi, attualmente i destinatari utilizzando le informazioni sopra riportate per decidere sul se sia effettivamente necessario procedere all’aggiornamento del profilo di rischio.
Per lo svolgimento dello stesso compito, sarebbe auspicabile prendere in considerazione, oltre a tutti gli aspetti sopra menzionati in quanto sintetizzati nella variazione in aumento del profilo di rischio, molti più dati ed informazioni, ossia: adverse news, probabilità del cliente di essere oggetto di una prossima segnalazione, probabilità che il cliente possa appartenere a organizzazioni criminali… ma in molto meno tempo e con garanzia di armonizzazione e standardizzazione di processo!
E’ possibile immaginare di utilizzare una concatenazione di soluzioni, che messe a sistema, siano in grado di replicare e anche superare i risultati ottenibili tramite il lavoro umano, raggiungendo i seguenti obiettivi:
- intercettare le variazioni del profilo di rischio dell’intermediario (dato certamente noto al destinatario)
- assegnare una stima della probabilità che il cliente venga segnalato all’UIF nel prossimo futuro[4]
- stimare una probabilità che il cliente[5] appartenga a organizzazioni criminali in funzione del valore delle voci rappresentato in bilancio;
- individuare eventuali adverse news focalizzate sull’antiriciclaggio;
- intercettare eventuali variazioni nella governance (per le persone giuridiche), ad es: titolare effettivo, cambio sede sociale in zone a rischio, cambio attività economica, ecc.) (sistema di KRI deterministici).
Molte di queste informazioni travalicano il semplice “step uno” che dovrebbe essere deputato alla semplice individuazione di un percorso, e ci portano già un passo avanti sullo step due portando dei benefici di fatto a tutto il processo nel suo complesso. Purtuttavia, le stesse sarebbero utilizzate al solo fine di individuare un percorso e, più in particolare, determinare il “se” ossia il “quando” necessario procedere all’aggiornamento dell’adeguata verifica. Volendo fare riferimento al nuovo Regolamento Antiriciclaggio potremmo dire che questi elementi sono idonei ad evidenziare eventuali “cambiamenti nelle circostanze pertinenti dei clienti”[6]. In tal modo, concretamente il destinatario avrebbe raccolto già molte informazioni utili ai fini dell’adeguata verifica della clientela ma le utilizzerebbe, almeno in un primo momento, solo per prendere una decisione sull’opportunità o meno di procedere all’aggiornamento dell’AVC. L’utilizzo di tale attività sarebbe quindi molto utile per risolvere il problema della grande mole di clienti per i quali diversi “player” si trovano in arretrato sul processo di aggiornamento dell’adeguata verifica della clientela. Tali destinatari della norma antiriciclaggio potrebbero infatti segmentare tale backlog fra due cluster ben distinti: 1) clienti per i quali non è necessario procedere all’aggiornamento dell’adeguata verifica, 2) clienti per i quali è necessario procedere all’aggiornamento dell’adeguata verifica.
I clienti di cui al punto 1) sono i clienti per i quali non sono stati riscontrati degli elementi di innalzamento del rischio o, per dirla usando il linguaggio del nuovo Regolamento, non sono stati rilevati “cambiamenti nelle circostanza pertinenti del cliente”. E la cosa interessante è che a tale conclusione ci si è arrivati basandosi su dati piuttosto corposi e anche delle valutazioni, sebbene effettuate da sistemi di intelligenza artificiale, che in un normale processo di valutazione (dello step uno) non verrebbero neppure prese in considerazione[7].
Attualmente i principali player di mercato hanno adottato un approccio statico principalmente per rispondere al requisito normativo seguente: “Nel documento di policy antiriciclaggio, i destinatari stabiliscono, in ragione del profilo di rischio, la tempistica e la frequenza dell’aggiornamento dei dati e delle informazioni acquisite, anche avvalendosi di procedure automatiche di segnalazione della scadenza di documenti, certificazioni, poteri di rappresentanza, rapporti di mandato, nonché di segnalazione dell’acquisizione di specifiche qualità (es., quella di PEP), ovvero dell’inclusione in liste o elenchi […].
L’aggiornamento è comunque effettuato quando il destinatario rileva che non sono più attuali le informazioni precedentemente acquisite e utilizzate per l’adeguata verifica[8].»
A fronte di tale requisito, infatti, diversi destinatari hanno adottato una tabella che esprime, in funzione del livello di rischio, la frequenza e la tempistica prevista per l’aggiornamento della KYC adottando pertanto un approccio statico. Al riguardo occorre segnalare che la norma, letteralmente, nel punto richiamato, parla di “dati” ed “informazioni” che devono essere aggiornati con una “frequenza” e “tempestività” ben definita dalla policy. Quindi, per rispondere al requisito non è affatto detto che sia necessario aggiornare il “questionario di adeguata verifica” che è lo strumento che quasi tutto il mercato utilizza proprio per acquisire dati ed informazioni, basta che le informazioni e i dati siano di fatto aggiornati, non è detto che il destinatario debba necessariamente scomodare il cliente. Con l’approccio proposto è possibile affermare che la frequenza e la tempistica di aggiornamento dei dati e delle informazioni siano molto più ravvicinate di quelle tipicamente utilizzate dal mercato (ad es. ogni anno per i rischio alto, ogni tre anni per i rischi medi, ecc…). Infatti, i dati e le informazioni sarebbero addirittura acquisiti nel continuo.
Il superamento dell’interpretazione operativa prevalente del suddetto requisito passando da una approccio statico ad un approccio dinamico appare ancor più rilevante se consideriamo la normativa che sarà presto approvata in sede AMLA ed il regolamento Antiriciclaggio recentemente approvato[9].
In particolare, l’articolo 26 paragrafo 2 recita quanto segue: “Nel contesto del controllo costante di cui al paragrafo 1, i soggetti obbligati assicurano che i documenti, i dati o le informazioni pertinenti del cliente siano tenuti aggiornati.
Il periodo di tempo tra gli aggiornamenti delle informazioni relative al cliente a norma del primo comma dipende dal rischio rappresentato dal rapporto d’affari e in ogni caso non è superiore a:
- un anno, per i clienti ad alto rischio ai quali si applicano le misure di cui alla sezione 4 del presente capo;
- cinque anni, per tutti gli altri clienti.”
Sia la norma vigente sia le disposizioni AMLA focalizzano l’attenzione sulla necessità di verificare le informazioni sui clienti. Da un lato la richiesta è di verificare che le stesse siano ancora attuali, dall’altro la richiesta sembrerebbe essere focalizzata sulla necessità di fare in modo che tali informazioni non siano più obsolete di cinque anni per i clienti con il livello di rischio non elevato. Pertanto, attivare delle modalità di acquisizione automatica delle stesse diventa una vera e propria emergenza. Al di là delle informazioni sin qui trattate per la valutazione della variazione del profilo di rischio, si riporta di seguito un’analisi delle informazioni che devono essere raccolte in sede di adeguata verifica. In particolare, nelle tabelle seguenti per ciascuna di queste informazioni, abbiamo provato a capire se è possibile acquisire in automatico un aggiornamento senza scomodare il cliente.
Fra queste possiamo sicuramente isolare una serie di informazioni che non sono suscettibili di cambiamento e che pertanto non è necessario che siano oggetto di nuova richiesta al cliente tramite l’aggiornamento del c.d. “questionario”: nome, cognome, luogo e data di nascita, CF o PIVA. Ce ne sono altre che invece variano nel tempo ma possono essere acquisite facilmente sempre senza scomodare il cliente, attraverso semplici indicatori deterministici che si avvalgono anche di informazioni provenienti da fonti affidabili e indipendenti. Di seguito un esempio di tali informazioni:
- generalità e residenza del titolare effettivo
- generalità e residenza dell’esecutore
- Residenza o sede legale del cliente
- Scopo del rapporto
- Relazione fra cliente, titolare effettivo ed esecutore
- Attività lavorativa
- Origine dei fondi
- Reddito e patrimonio
- Situazione economica del titolare effettivo o dei familiari
Rispetto a tali dati, il documento di identità rappresenta una delle poche informazioni che richiede invece l’intervento del cliente. Tuttavia, è possibile automatizzare l’informazione sulla naturale scadenza del documento e creare delle maschere di upload da rendere disponibili ai clienti (digitali). Al riguardo sarebbe interessante ragionare con il legislatore su quale rischio di riciclaggio effettivamente evidenzi un documento d’identità scaduto a fronte di tutte le altre informazioni acquisite che sono molto più aggiornate. E’ veramente rischioso non avere aggiornamenti su un documento di identità anche se in sede di apertura del rapporto ne avevo acquisita una valida copia? Cosa potrebbe essere cambiato sul cliente nel corso del rapporto una volta che il suo documento è arrivato alla naturale scadenza? A tal riguardo, infatti, a parere di chi scrive, l’unico elemento informativo che potrebbe essere variato, a parte la data di emissione e scadenza, fra quelli presenti sul documento di identità[10] è semplicemente la residenza, ma come detto sopra, tale informazione sarebbe già stata acquisita. Ad ogni modo è noto che l’autorità di vigilanza riponga una discreta attenzione sul tema ed è quindi opportuno continuare ad organizzarsi in modo tale da scongiurare il caso di clienti con documento scaduto.
In conclusione, dai ragionamenti esposti si può affermare che l’implementazione di un simile processo di analisi, sebbene in un primo momento sembrava fosse orientato a risolvere solamente lo “step uno” ossia “che strada prendo”, in realtà, se opportunamente integrato da dati già disponibili come quelli evidenziati sopra, consentirebbe di affermare con ragionevole certezza, secondo chi scrive, che
- i dati e le informazioni sui clienti sono aggiornati e che
- i dati e le informazioni sui clienti non sono mai più obsoleti di cinque anni,
anzi, per dirla meglio, sono aggiornati in tempo reale.
[1] “Disposizioni in materia di adeguata verifica della clientela per il contrasto del riciclaggio e del finanziamento del terrorismo” del 30 luglio 2019.
[2] Il processo di adeguata verifica semplificata è rappresentato dai primi punti di domanda del processo ordinario
[3] L’adeguata verifica consiste, in sintesi, nell’Identificazione del cliente e verifica dell’identità, l’identificazione del titolare effettivo e la verifica dell’identità, nell’acquisizione di informazioni su scopo e natura del rapporto e nel controllo costante
[4] Sulla base di variabili legate all’anagrafica (i.e. reddito; professione; attività economica; ecc.) e all’operatività del cliente (i.e. nr. Operazioni con carte di credito; ammontare in uscita tramite carte di credito; ecc.)
[5] Persona giuridica
[6] Articolo 26 paragrafo 3 del Regolamento 2024/1624.
[7] Il Regolamento (UE) 2024/1624 al considerando 69 dice “il soggetto obbligato dovrebbe valutare la necessità di riesaminare il fascicolo del cliente per reagire a cambiamenti sostanziali…”
[8] Disposizioni in materia di adeguata verifica della clientela per il contrasto del riciclaggio e del finanziamento del terrorismo, Parte Seconda, Sezione VII
[9] Regolamento (UE) 2024/1624
[10] Cognome, nome, luogo e data di nascita, sesso, statura, cittadinanza, data di emissione e scadenza, codice fiscale estremi atto di nascita, indirizzo di residenza.