SOMMARIO[*]: Uno degli elementi della nuova logica della lotta al riciclaggio e al finanziamento del terrorismo è rappresentato dalla consapevolezza della necessità di innalzare costantemente il livello di efficienza migliorando l’allocazione delle risorse, umane e tecniche, disponibili. Ciò può avvenire attraverso la continua implementazione della conoscenza in ordine alle caratteristiche che i fenomeni criminali assumono, tempo per tempo, per sfruttare il sistema economico e finanziario di uno specifico paese. Per questi motivi il GAFI raccomanda ad ogni paese di effettuare una valutazione periodica del proprio sistema di contrasto (national risk assessment) e, dopo l’individuazione delle relative minacce e delle vulnerabilità, adottare le conseguenti misure di mitigazione e rimedio. Di recente il GAFi ha ritenuto che l’efficienza del processo di risk assessment nazionale richieda il coinvolgimento di un novero di soggetti non più limitato agli attori pubblici con funzioni di supervisore o di regolatore ma anche aperto a un maggior contributo da parte dei soggetti destinatari della disciplina AML/CFT e di tutte quelle strutture pubbliche e private dotate di dati e capacità di analisi utili a comprendere i punti di debolezza del sistema nazionale di contrasto e le linee evolutive dei fenomeni criminali. Questa tendenza inclusiva consente di individuare un ampio ambito di soggetti coinvolti nell’esercizio periodico di assessment noto come “ecosistema AML/CFT”.
ABSTRACT: One of the elements of the new logic to the fight against money laundering and terrorist financing is represented by the awareness of the need of a constant growth in the efficiency level, by improving the allocation of available human and technical resources. This can be achieved through the continuous implementation of knowledge regarding the characteristics that criminal phenomena assume, from time to time, to exploit the economic and financial system of a specific country. For these reasons, the FATF recommends that each country should periodically assess its own countermeasures (national risk assessment) and, after identifying the related threats and vulnerabilities, adopt the consequent mitigation and remediation measures. Recently, the FATF has concluded that the efficiency of the national risk assessment process requires the involvement of a number of subjects no longer limited to public actors with supervisory or regulatory functions but also open to a greater contribution from the subjects addressed by the AML/CFT discipline and all those public and private structures equipped with data and analysis capabilities useful for understanding the weaknesses of the national countermeasures system and the evolutionary lines of criminal phenomena. This inclusive trend allows the identification of a broad range of subjects involved in the periodic assessment exercise known as the “AML/CFT ecosystem.”
1. Premessa
Il 7 novembre 2024 il GAFI/FATF (d’ora innanzi “GAFI” o “Organismo internazionale”) ha pubblicato la propria guida per orientare i diversi paesi nell’attività di assessment nazionale del rischio di riciclaggio[1] (National Risk Assessment o NRA).
Questa guida non è il primo documento della specie. Dopo l’introduzione nel 2012 della Raccomandazione n.1, il GAFI pubblicò una raccolta di orientamenti per guidare le valutazioni nazionali sia del rischio di riciclaggio che di quello di finanziamento al terrorismo[2] (d‘ora innanzi, rispettivamente ML e TF) provvedendo, a febbraio 2019, ad aggiornate quelle sul rischio di TF[3] e ad adottare ex novo, nel 2021, quelle in materia di proliferazione delle armi di distruzione di massa[4] (PF).
Questa manifesta esigenza di aggiornamento fa da corollario al convincimento che l’identificazione e la comprensione sostanziale dei rischi cui un paese è esposto rappresenti la base fondamentale per l’efficace attuazione di tutte le 40 Raccomandazioni[5].
Per tale ragione, sempre a parere del GAFI, un assessment del rischio di riciclaggio che non si traduca in una mera ricognizione dello stato dell’arte[6], ma abbia anche una portata predittiva, deve essere frutto di un processo dinamico e continuo per far funzionare il quale la guida fornisce una serie di principi e best practices.
Come viene sottolineato dal GAFI, il risultato di questo processo non ha una valenza esclusivamente pubblica ma è finalizzato a fornire informazioni utili anche alle istituzioni finanziarie, alle imprese e professioni non finanziarie designate (DNFBP)[7] e ai fornitori di servizi di asset virtuali (VASP)[8] per supportare le valutazioni in ordine al proprio rischio intrinseco e la scelta e messa in opera delle misure di mitigazione.
Pertanto, la valutazione nazionale del rischio ML viene definita dal GAFI come “un processo basato su una metodologia concordata fra tutte le parti coinvolte”[9] e, conseguentemente, in applicazione ai dettami della Nota interpretativa alla Raccomandazione n.1 “I paesi dovrebbero…disporre di meccanismi per fornire informazioni appropriate sui risultati <dell’assessment> a tutte le autorità competenti e agli organismi di autoregolamentazione, alle istituzioni finanziarie e ai professionisti designati” (trad. dell’A.)[10].
Considerata, dunque, la complessità delle problematiche coinvolte e la varietà dei destinatari, il GAFI ha fatto ricorso per la predisposizione di queste linee guida ad una metodologia quanto più inclusiva possibile, coinvolgendo nell’aggiornamento co-diretto da Messico, Hong Kong e Cina non solo i propri membri e quelli degli organismi regionali (FSRB)[11] ma anche gli operatori del settore privato attraverso l’attivazione, nell’aprile 2024, di un forum e l’avvio, a luglio 2024, di una consultazione pubblica ad esito della quale il team di progetto ha ricevuto 501 risposte provenienti da vari attori tra cui istituzioni finanziarie, professionisti, accademici, organizzazioni non profit e consulenti aziendali.
2. I concetti chiave per la valutazione e la comprensione del rischio di riciclaggio
La descrizione del processo di risk assessment prende l’avvio dall’individuazione da parte del GAFI di alcuni concetti chiave: minaccia, vulnerabilità, impatto, rischio, (misure di) mitigazione.
A. L’individuazione e la valutazione delle diverse minacce rappresenta il punto di partenza per la comprensione del rischio di riciclaggio: secondo l’Organismo internazionale la minaccia è rappresentata dal singolo soggetto o da più soggetti o attività, potenzialmente idonee a dissimulare le origini illecite dei fondi, causando in tal modo danni allo Stato, alla società e all’economia.
B. Ciò premesso, il concetto di vulnerabilità nel contesto dell’AML assessment può afferire alle caratteristiche:
di un paese, ad esempio la struttura del suo settore finanziario, di quello commerciale o le procedure e formalità per la costituzione di società e altri veicoli, o
- di un particolare settore di attività, prodotto o servizio finanziario che rende tali strumenti particolarmente idonei per finalità di riciclaggio.
In entrambi i casi la vulnerabilità può dipendere da carenze della regolamentazione o nella sua applicazione (ad esempio non conformità o parziale conformità della legislazione nazionale ai requisiti delle raccomandazioni del GAFI) o essere riconducibile ad una inadeguata attività di supervisione.
C. Come parte della loro valutazione del rischio ML i diversi paesi dovrebbero concentrarsi, oltre che sull’identificazione delle minacce e delle vulnerabilità che li caratterizzano, anche sulla comprensione approfondita del loro potenziale impatto, inteso come “danno” che il riciclaggio può cagionare all’economia e alla società in generale.
In questo contesto il concetto di “danno”, inteso nel senso ampio di detrimento, svantaggio o diminuzione, comprende anche l’aspetto reputazionale di un paese e la capacità attrattiva del suo settore finanziario e potrà avere una portata nazionale e/o internazionale, di breve o lungo termine e includere effetti negativi nei confronti dell’intera popolazione o di specifiche comunità e settori di attività.
D. Quanto al concetto di rischio, la guida GAFI, pur non esplicitandone una definizione precisa, ponendo in connessione logica i concetti sopramenzionati, afferma che lo stesso si manifesta nel momento in cui una minaccia sfrutta con successo una vulnerabilità per produrre un impatto (negativo, ovviamente).
E. A loro volta le misure di mitigazione del rischio vengono individuate in tutte quelle azioni, controlli o strategie finalizzate alla gestione del rischio ML e possono essere di tipo legislativo, regolamentare, di vigilanza o altre azioni amministrative intraprese per contenere il rischio.
3. I prerequisiti del NRA
Sebbene il GAFI sia consapevole che i paesi debbano calibrare il proprio assessment in base alle loro caratteristiche, la guida individua una serie di prerequisiti per un assessment nazionale efficace indipendentemente dalla capacità, dal rischio e dal contesto del paese.
i. Commitment politico sulla conduzione del NRA
La guida pubblicata a novembre 2024 sottolinea l’importanza del sostegno ufficiale degli organi di governo (“senior government level commitment”) ai fini della percezione da parte dell’ecosistema AML della rilevanza del processo di assessment.
A tal fine, indicatori di un forte commitment governativo possono essere rappresentati dalla decisione di assegnare il compito di condurre il processo a un gruppo, a basso turn over, composto da soggetti di adeguata esperienza tratti dalla FIU, dalle autorità di vigilanza, di regolamentazione e con compiti sanzionatori e da altre autorità competenti in materia AML nonché nella scelta di effettuare investimenti in soluzioni tecnologiche per la raccolta e l’elaborazione di dati con modalità tali da garantire risultati affidabili[12].
ii. Il meccanismo nazionale per valutare il rischio
Gli standard GAFI prevedono che i diversi paesi debbano individuare un’autorità o una struttura di coordinamento delle attività di assessment nazionale (authority or mechanism), ma attribuiscono margini di flessibilità affinché sia adottato un approccio che tenga conto del contesto nazionale: non è richiesta, pertanto, l’istituzione di un organismo permanente per lo svolgimento dell’assessment.
In ogni caso dalla guida emerge, almeno ai fini dell’assessment nazionale, un ampliamento del perimetro dell’ecosistema AML, espressione che ricorre nel documento del GAFI solo una volta senza, peraltro, essere accompagnata da una definizione e lasciando al lettore il compito di intuirne le componenti.
Il riferimento ad un “ecosistema AML” è presente anche in altri documenti[13], ma dalla lettura della guida GAFI pubblicata a novembre 2024 emerge una tendenza ad amplificarne i confini fino a comprendere non solo regolatori e supervisori, ma anche i soggetti obbligati e quelli che pur non essendolo, in base alle loro funzioni istituzionali, pubbliche o private, possano offrire un contributo alle diverse fasi di articolazione del processo di assessment.
Infatti, il GAFI sottolinea che per garantire la completezza della valutazione del rischio, qualunque sia la soluzione organizzativa prescelta, dovrebbe essere favorita la partecipazione di un’ampia gamma di autorità nazionali quali le agenzie di intelligence e sicurezza, le forze di polizia (ivi incluse quelle a presidio delle frontiere), l’autorità giudiziaria, la FIU, l’autorità antidroga e quella anticorruzione, le autorità doganali, quelle di vigilanza e di regolamentazione e dovrebbero, inoltre, essere coinvolti tutti i soggetti pubblici che possono detenere informazioni rilevanti per l’assessment, tra cui banche dati fiscali e istituti di statistica che possono fornire, tra l’altro, dati ripartiti per settori di attività utili a valutare le differenze di impatto del riciclaggio.
Inoltre, a seconda delle caratteristiche del paese, dovrebbe essere preso in considerazione anche il coinvolgimento dei soggetti che si occupano delle politiche di inclusione finanziaria.
Viepiù, sebbene l’assessment nazionale del rischio ML sia istituzionalmente destinato a sintetizzare la posizione governativa in ordine a tale rischio, una maggiore concretezza del risultato richiede il coinvolgimento di stakeholder non governativi compresi, non solo gli intermediari finanziari, i professionisti designati, i VASP, ma anche i rappresentanti della società civile e del mondo accademico ivi inclusi eventuali esperti nella valutazione di rischi differenti da quelli del mondo AML.
A parere del GAFI, infatti, il coinvolgimento di stakeholder non governativi non solo può condurre all’individuazione di minacce emergenti ma contribuirebbe a integrare e contestualizzare le informazioni, specie quelle in possesso delle forze dell’ordine e dei supervisori, illuminandole di una luce “pratica”[14] utile a evitare generalizzazioni e cogliere sfumature e dettagli per comprendere concretamente come prodotti e servizi possano essere utilizzati legittimamente o per finalità di riciclaggio.
A tal fine l’Organismo internazionale stimola con la guida i diversi paesi, non solo ad acquisire dai soggetti sottoposti alla normativa AML le loro autovalutazioni circa l’esposizione al rischio, ma a chiedere altre informazioni tramite l’invio di sondaggi o questionari finalizzati ad ottenere feedback[15] e ulteriori dati la cui utilità potrà essere tanto maggiore quanto più elevato è il livello di standardizzazione del modello per la loro analisi[16].
iii. La definizione dell’ambito e degli obiettivi
Secondo il GAFI, è essenziale che tutti i soggetti coinvolti nella valutazione nazionale del rischio abbiano chiaro fin dall’inizio il motivo per cui esso vada condotto, nonché l’ambito del suo svolgimento.
Definire l’ambito del processo significa delineare e formalizzare chiaramente l’iter decisionale per la conduzione dell’assessment e i protocolli di riservatezza per la trattazione dei dati, identificare le domande a cui dovrebbe essere data risposta, i criteri che saranno utilizzati per rispondere a tali domande e le possibili decisioni e strategie che saranno adottate in base al risultato emerso, le tempistiche, i passaggi chiave, le scadenze durante tutto il processo.
Andranno, per quanto possibile, determinate anche le fonti dei dati da acquisire e i materiali già prontamente utilizzabili in modo da garantire che le risorse siano impegnate in modo mirato, massimizzando così l’efficienza della valutazione.
Un primo passo è, dunque, quello di riprendere l’NRA precedente[17] e considerare altri documenti eventualmente già disponibili e utili alla valutazione del rischio come, ad esempio, studi e ricerche su determinate tematiche o settori[18] come le analisi già condotte da parte della FIU (trends and typologies reports)[19], delle forze dell’ordine o degli uffici di intelligence[20], di istituzioni bancarie e finanziarie, di istituti di ricerca indipendenti o i report di organismi internazionali come il documento Unionale sulla valutazione del rischio sovranazionale[21]: l’utilizzo di questi documenti nei quali sono già presenti dati e valutazioni in tema di rischi è un modo, secondo il GAFI, per ottimizzare le risorse disponibili[22].
iv. La raccolta delle informazioni e dei dati
Tutto ciò premesso risulta pressoché scontato il richiamo del GAFI al ruolo essenziale svolto in ogni fase del processo di assessment nazionale dall’attività di raccolta dei dati. In tale ambito il GAFI distingue fra dati quantitativi e qualitativi.
I primi sono rappresentati dalle informazioni numeriche e misurabili che possono essere espresse in termini di quantità o importi e consentono di trarre conclusioni oggettive[23].
Queste informazioni, pur costituendo una buona base di partenza per misurare la capacità delle autorità di monitorare andamenti tendenziali, non sono sufficienti per interpretare i fenomeni sottostanti e comprendere le relative implicazioni in termini di efficacia del sistema di contrasto al riciclaggio.
I dati qualitativi si sostanziano, invece, in informazioni descrittive non numeriche, ad esempio, l’illustrazione di casi di studio, pareri di esperti e osservazioni provenienti da vari soggetti come le forze dell’ordine, l’autorità giudiziaria, organismi di autoregolamentazione: tale tipo di dati è in grado di fornire dettagli sulle percezioni, gli atteggiamenti e le esperienze delle principali parti interessate e supporta l’identificazione delle carenze e dei relativi margini di miglioramento.
Entrambe le tipologie di dati dovrebbero contribuire a delineare un quadro accurato dei rischi di un paese: ad esempio, se non sono state inoltrate segnalazioni di operazioni sospette da parte di un certo tipo di soggetti obbligati ciò potrebbe far sembrare quei soggetti come a basso rischio. Tuttavia, le informazioni qualitative potrebbero evidenziare la ridotta consapevolezza di quel settore riguardo ai propri obblighi segnaletici, circostanza potenzialmente significativa di un livello di rischio più elevato di quanto suggeriscano i dati quantitativi.
In tale ambito, il GAFI richiama l’utilità che la raccolta e l’integrazione dei dati avvenga tramite un data base centralizzato a livello nazionale in grado di fornire una visione olistica dei dati relativi al riciclaggio, se possibile comparabili e uniformi nel tempo, così preconizzando un approccio realizzato da un numero ancora limitato di paesi[24].
Viepiù, l’utilizzo di un data base centralizzato consentirebbe la verifica incrociata di dati provenienti da fonti diverse per creare un quadro scevro da incoerenze.
4. I passaggi del processo e le buone pratiche
Per lo svolgimento dell’assessment il GAFI descrive un processo lineare articolato – secondo le buone pratiche di cui si è fatto collettore – in sei passaggi (v. figura 1) precisando, tuttavia, che quello delineato non è uno strumento prescrittivo ma solo un approccio di massima che ciascun paese potrà adattare alle proprie caratteristiche.
Fig.1
I. Non è un caso, infatti, che il primo step sia definito “Environmental Scan”, espressione con la quale si fa riferimento all’esame del quadro attuale del paese mediante l’analisi del contesto demografico, finanziario, normativo, geografico, sociale ed economico nel quale vengono consumati i reati/violazioni e generati i proventi criminali.
Non solo: l’analisi dei fattori ambientali e della loro evoluzione non ha una valenza meramente descrittiva ma deve terminare con un giudizio in ordine alla loro capacità di incidere sul rischio ML o di esserne influenzati.
La fase di “Environmental Scan” dovrebbe portare a una prima e del tutto preliminare misurazione del livello di rischio cui il paese è esposto (“initial view of the country-level ML risk”): secondo la guida questo giudizio dovrebbe poggiare tanto su quello che lo stesso GAFI definisce “brief scan of the data” in merito al contesto nazionale sotto il profilo criminale, quanto sull’intuizione dei componenti del team che intraprende l’assessment[25].
In questa fase sono particolarmente importanti i dati forniti dall’autorità giudiziaria, non solo per la comprensione delle diverse minacce, ma anche ai fini della valutazione del livello di efficacia del quadro giuridico e delle misure di mitigazione utilizzate, nonché per l’identificazione delle aree di miglioramento[26].
Come detto, lo scopo in questo step è quello di giungere ad una prima valutazione del rischio da testare alla fine dell’intero processo di assessment.
Questo step, pertanto, dovrebbe concludersi con la predisposizione di un primo elenco di minacce/reati/violazioni e di vulnerabilità (“initial list of threats and vulnerabilities the country faces”) che non necessariamente attesta la sussistenza di un rischio alto o basso ma individua semplicemente una o più fattispecie rientranti nel complesso delle informazioni da analizzare[27].
II. Una volta allestito questo elenco si può dare avvio alla fase detta del “processo analitico” che secondo la guida del GAFI rappresenterebbe “…the critical part of the NRA”[28].
Obiettivo di questa seconda fase è quello di sviluppare un processo strutturato per analizzare la portata, la natura, la probabilità e le conseguenze di ciascuna delle minacce[29] e delle vulnerabilità che saranno identificate e, quindi, fornire una valutazione relativa (livello basso, medio, alto) delle minacce e delle vulnerabilità che ne sintetizzi l’importanza in termini di gravità e urgenza
Per quanto ovvio non esiste un metodo unico per effettuare queste valutazioni in termini di probabilità, entità e conseguenze ma si può scegliere di impiegare tecniche più formali, come sondaggi condotti da esperti o analisi statistiche della frequenza delle attività, o si può scegliere di condurre discussioni di gruppo o workshop.
III. Il terzo step è quello dell’ “analisi delle minacce” la cui finalità è offrire una visione olistica (“holistic threat understanding”) delle principali fonti dalle quali possono essere generati proventi oggetto di riciclaggio e, conseguentemente, individuare le priorità da affrontare.
Secondo le indicazioni della guida, l’identificazione delle minacce dovrebbe prendere avvio dalla disamina dei dati forniti dalla giurisdizione penale, dall’intelligence, dalla FIU e dalle forze dell’ordine riguardo alla tipologia e al numero dei reati presupposto consumati, alle condanne pronunciate, alle caratteristiche degli autori[30], ai sequestri e alle confische di beni, all’entità e natura dei proventi generati (denaro, altri beni o utilità), alle segnalazioni di operazioni sospette, etc.
L’interpretazione di questi dati quantitativi va condotta con cautela a causa di vari fattori fra i quali uno spicca fra tutti: le attività criminose ufficialmente rilevate rappresentano solo una parte dell’effettivo volume dei crimini in quanto, in generale, alcuni reati tendono ad essere più facilmente denunciati (ad esempio, le rapine) rispetto ad altri pur rilevanti (come la tratta di esseri umani).
Inoltre, unitamente al numero dei reati, in questa fase è essenziale che vada considerato anche l’ammontare totale e medio dei proventi per ciascuna categoria di reato: è possibile, infatti, che un singolo tipo di reato presenti un’elevata ricorrenza ma ciò non significherà necessariamente che quel reato sia la minaccia ML più importante per il paese.
Infine, sempre in tema di proventi criminali, nella fase dell’analisi delle minacce il team di assessment è chiamato a comprendere se i proventi generati a livello nazionale siano riciclati all’estero e/o viceversa: è questo un passaggio fortemente rimarcato dal GAFI, secondo il quale sottovalutare l’impatto che il riciclaggio transnazionale ha sull’economia di un paese può compromettere non solo l’efficacia del quadro AML nazionale ma anche globale[31]. In tale prospettiva possono essere tratte informazioni su modelli comportamentali, tendenze e tipologie di reato “transnazionale” considerando:
- il numero delle richieste di informazioni che gli organismi nazionali, ivi inclusa la FIU, ricevono dalle omologhe autorità straniere e che potrebbero concentrarsi su determinate fattispecie di reato;
- i flussi finanziari transfrontalieri in entrata e in uscita;
- i dati dell’import/export del paese.
Infine, il team di assessment dovrà contestualizzare i dati sulle minacce attraverso una valutazione per ciascuna di esse in termini di gravità per comprendere dove le attività di contrasto e le misure di mitigazione post assessment dovrebbero essere indirizzate prioritariamente[32]: questa valutazione, di gravità della minaccia andrebbe sintetizzata da un indicatore elaborato tenendo presenti due dimensioni, la probabilità che il reato sia consumato nella giurisdizione e il grado di importanza della violazione desumibile, il più delle volte, dalla relativa pena edittale.
IV. Il quarto step è rappresentato dall’analisi delle vulnerabilità: questa fase ha come obiettivo l’identificazione dei principali settori, prodotti, servizi, canali, categorie di clientela, aree geografiche e altri fattori che le minacce più comunemente sfruttano per portare a successo le attività di riciclaggio.
Questa valutazione va condotta sia a livello nazionale che settoriale.
La prima comporta, prioritariamente, la disamina del sistema dei controlli AML inclusa la completezza del quadro normativo del paese e il suo allineamento agli standard del GAFI.
Fra i fattori che possono avere un riflesso in termini di vulnerabilità nazionale, il GAFI evidenzia il livello di coordinamento fra le autorità, la disponibilità di attività formative specializzate e di tecnologia e la capacità di rilevare, investigare e interrompere efficacemente le attività di ML. Possono inoltre avere un peso fattori geografici e fattori sociali come l’immigrazione, la coesione sociale nonché i livelli di utilizzo delle tecnologie nelle transazioni finanziarie.
Inoltre, in questa fase si dovrebbe tener conto del livello di inclusione/esclusione finanziaria del paese e dei relativi riflessi sulle caratteristiche dell’economia sommersa.
Accanto alla valutazione a livello nazionale, il GAFI prevede l’esame delle vulnerabilità intrinseche associate ai diversi settori finanziari e non finanziari all’interno del paese.
Ogni settore può, infatti, presentare vulnerabilità uniche che i riciclatori di denaro potrebbero cercare di sfruttare e un’analisi mirata e specifica è essenziale per sviluppare contromisure efficaci: ad esempio, alcuni settori possono offrire prodotti o servizi con caratteristiche ad alto rischio come un elevato volume di transazioni in contanti, movimenti di fondi transfrontalieri o la capacità di dissimulare la titolarità effettiva, rendendoli attraenti per i riciclatori di denaro.
Il giudizio settoriale dovrebbe tener conto del livello di conformità con gli obblighi AML come la due diligence del cliente, il monitoraggio delle transazioni e l’obbligo di segnalazione di attività sospette attingendo ai risultati delle attività di vigilanza ispettiva e cartolare e coinvolgendo il settore privato.
Anche questa fase termina con la formulazione di un giudizio sulle vulnerabilità espresso attraverso un indicatore – preferibilmente realizzato in modo da indicare quali aree nazionali, settori e prodotti o servizi dovrebbero avere misure di mitigazione prioritarie – il cui valore (ad esempio su una scala da 1 a 10) è determinato dalla probabilità in cui la vulnerabilità verrebbe sfruttata a fini di riciclaggio, nonché dalle conseguenze/impatti di tali attività illecite.
V. Il quinto step è quello della valutazione del rischio nella duplice accezione di rischio inerente e rischio residuo.
Il rischio inerente rappresenta il livello del rischio ML prima dell’introduzione di eventuali misure di mitigazione e descrive come le minacce interagiscono con le vulnerabilità determinando un impatto negativo.
Come sottolinea il GAFI, non esiste un modello unico e definitivo per calcolare il rischio inerente nazionale: questo dovrebbe scaturire dalla valutazione collettiva dei singoli rischi già identificati in termini di grado e importanza.
Il rischio residuo è il livello assunto dal rischio ML dopo l’adozione delle misure di mitigazione.
Esso è, dunque, inferiore o al massimo pari (nell’ipotesi di totale inefficacia delle misure di mitigazione) al rischio intrinseco e viene determinato dopo un’analisi che coinvolge l’intero ecosistema AML finalizzata a far emergere in che misura i meccanismi di mitigazione vengono implementati in modo efficace e se stanno favorendo i risultati desiderati nel rilevare, scoraggiare e interrompere le attività di ML.
I fattori da considerare nell’ambito di tale analisi includono tanto misure operative (ad esempio, istituzione o meno del registro dei titolari effettivi) che politiche, nonché la verifica del grado di conformità alle disposizioni normative da parte dei soggetti obbligati, l’efficacia delle segnalazioni di operazioni sospette e l’impatto delle azioni di vigilanza intraprese dalle autorità competenti.
VI. Il sesto e ultimo step del processo di assessment è definito “Horizon Scanning” e consiste nella individuazione di quelle che potrebbero essere le nuove minacce, vulnerabilità e rischi emergenti.
Ad esempio, va tenuta presente l’evoluzione dei metodi di truffa imputabile all’uso più sofisticato delle tecnologie da parte degli autori (richieste di contatti telefonici o tramite indirizzi e-mail o siti Web, o creando falsi annunci e profili social) e altre minacce informatiche come l’hacking, gli attacchi DDoS (distributed denial-of-service)[33] e ransomware.
Ciò richiede un monitoraggio continuo, la collaborazione fra gli stakeholder e l’utilizzo di fonti di intelligence con la finalità di consentire l’individuazione di gruppi criminali emergenti, di nuovi prodotti e servizi e di altri fattori che possano contribuire ad un cambiamento nell’ambiente di rischio, inclusi gli effetti delle misure di mitigazione: ad esempio, le misure normative implementate in un settore possono spostare le attività di riciclaggio di denaro in un altro settore.
Comprendere queste dinamiche e il loro potenziale impatto sul panorama di rischio è fondamentale per sviluppare strategie e misure proattive e predittive.
5. Allineare, sensibilizzare, migliorare
L’identificazione, la valutazione e la comprensione dei rischi ML sono nel loro insieme attività finalizzate al conseguimento di un preciso risultato. La nota interpretativa alla Raccomandazione n.1 prevede, infatti, che l’attività di assessment venga condotta al fine di:
- comprendere quali dovrebbero essere i potenziali cambiamenti da apportare al regime AML del paese, incluse modifiche alle leggi, ai regolamenti e ad altre misure al fine di adattare le strategie nazionali alle caratteristiche assunte dal rischio;
- definire le priorità per una migliore allocazione delle risorse da parte delle autorità competenti;
- rendere disponibili le informazioni sulla valutazione del rischio AML utili per la conduzione dell’autovalutazione da parte dei soggetti obbligati.
Viepiù, la Raccomandazione n.2 stabilisce che, “I paesi devono disporre di una policy AML/CFT/CPF nazionale, che tenga conto dei rischi individuati e che sia periodicamente rivista, designando un’autorità o un meccanismo di coordinamento o altro che sia responsabile di tali politiche” (trad. dell’A.)[34].
In tale ambito il GAFI indica tre attività che ciascun paese deve porre in essere a conclusione del proprio ML assessment (v. figura 2).
Fig.2
5.1 Allineare strategie e policy AML al rischio
Nella guida del GAFI campeggia ineludibile l’affermazione secondo cui “La condotta di un NRA non dovrebbe essere un processo burocratico senza risultati”[35] (trad. dell’A.) ma uno strumento per conformare le strategie e le politiche nazionali al rischio ML del paese.
L’allineamento delle strategie con il rischio non dovrebbe, dunque, essere visto come uno sforzo diretto ad individuare situazioni di rischio più elevato cui applicare misure rafforzate ma anche per identificare aree a rischio più basso da sottoposte a misure semplificate o di minore intensità.
Ai fini dell’applicazione concreta e proporzionata delle misure di mitigazione, la guida richiede la predisposizione di un piano d’azione definito nei paesi anglosassoni “Strategic Implementation Roadmap”.
In tale ottica, il coinvolgimento con continuità di tutti gli stakeholder durante l’intero processo attraverso meccanismi di comunicazione e coordinamento agevolerebbe preventivamente un accordo sulle azioni da intraprendere e garantirebbe che gli stakeholder privati si sentano corresponsabili del piano d’azione.
Le attività di allineamento pianificate richiedono, generalmente, i seguenti interventi:
- modifiche normative
Dall’NRA possono emergere lacune o debolezze del quadro normativo nazionale che potrebbero essere sfruttate dai criminali. Il piano d’azione potrebbe, dunque, dover prevedere la necessità di apportare modifiche al quadro normativo del paese per colmare queste lacune come, ad esempio, misure dirette a limitare l’utilizzo del contante e delle carte prepagate, riduzione degli spazi di anonimato per chi opera con beni virtuali, istituzione o potenziamento di registri, introduzione di obblighi di comunicazione periodica, etc.
Tuttavia, questo processo di aggiustamento normativo non solo non è immediato ma richiede un significativo lasso di tempo in quanto per il suo compimento è necessario il coinvolgimento di più parti, dell’ecosistema AML, tra cui il legislatore, esperti legali e rappresentanti del governo per garantire che le leggi proposte siano complete ed efficaci e in linea con gli standard e le buone pratiche internazionali.
Inoltre, il coinvolgimento degli stakeholder non governativi dovrebbe avvenire attraverso procedure di consultazione pubblica per evitare reazioni impreviste una volta che le leggi saranno promulgate.
Peraltro, eventuali fenomeni di superfetazione normativa a valle del risultato dell’assessment potrebbero indurre i destinatari ad adottare quello che viene definito un “tick-box approach” cioè un atteggiamento assolutamente pernicioso, frutto di una cultura di conformità minima, in cui l’obiettivo primario è soddisfare i requisiti normativi piuttosto che comprendere e mitigare realmente i rischi secondo un approccio al rischio[36].
- sviluppo e miglioramento dei meccanismi di cooperazione nazionale e internazionale
Come detto, questa cooperazione può avvenire attraverso l’istituzione di un forum permanente come il Comitato di sicurezza finanziaria (Csf)[37] in Italia o attraverso altri meccanismi che, comunque, devono essere in grado di supervisionare lo sviluppo dell’NRA.
È essenziale, secondo il GAFI, il coordinamento, la cooperazione e la condivisione delle informazioni tra la FIU e le forze dell’ordine.
Viepiù, il GAFI suggerisce che la condivisione delle informazioni riguardi anche le indagini penali in corso di cui la FIU dovrebbe prendere conoscenza per implementarle con i dati in suo possesso.
- implementazione delle risorse
L’ NRA può evidenziare lacune in termini di risorse, capacità e competenze a tutti i livelli del sistema AML.
Sulla base dei risultati del NRA, le autorità politiche e quelle che si occupano di supervisione dovrebbero allocare le risorse in modo più efficace per affrontare le lacune identificate e migliorare le capacità AML del paese.
In particolare, il budget e le risorse disponibili potrebbero richiedere una riallocazione verso aree che risultino a rischio più elevato, ad esempio, mediante un aumento dei finanziamenti per le forze dell’ordine o per le autorità di vigilanza al fine di migliorare la loro capacità di condurre ispezioni su settori specifici.
Aumentare il personale che si occupa di gestire il rischio AML nelle aree ad alto rischio è considerato dal GAFI un buono step, ma ancora più importante per l’Organismo internazionale è garantire che tutto il personale che opera nel sistema AML disponga di conoscenze che consentano di svolgere efficacemente il proprio lavoro.
Il piano d’azione deve, pertanto, identificare le aree in cui la formazione è carente o obsoleta, e raccomandare lo sviluppo di programmi di formazione su misura per le esigenze specifiche di tutte le parti coinvolte negli sforzi AML. Questi programmi di formazione possono coprire una gamma di argomenti vari, tra cui metodologie di valutazione del rischio, tecniche di indagine finanziaria, requisiti di conformità normativa e tendenze emergenti riguardo ai reati finanziari.
Al riguardo, il GAFI statuisce che “Investendo nello sviluppo delle capacità e nella formazione, un paese può migliorare la competenza e la professionalità del proprio personale AML, migliorando così l’efficacia dei propri sforzi per combattere la criminalità finanziaria” (trad. dell’A.)[38].
Infine l’NRA può anche individuare aree che possono essere rese più efficienti mediante l’automazione o la digitalizzazione di determinati processi ancora manuali e l’introduzione di strumenti IT che possano far risparmiare tempo e risorse consentendo agli addetti AML di concentrarsi su questioni sostanziali.
- azioni di vigilanza basate sul rischio
La comprensione del rischio è un processo bidirezionale: l’NRA si basa sulla comprensione dei rischi da parte delle autorità di vigilanza e nel contempo le autorità di vigilanza acquisiscono conoscenze aggiornate sulle minacce.
Pertanto, al termine dell’NRA le autorità di vigilanza dovrebbero verificare se le conclusioni emerse siano coerenti con la cognizione che hanno del rischio proprio delle entità sottoposte alla loro supervisione e, conseguentemente, orientare l’intensità dei loro controlli e stabilire le priorità delle loro attività.
- indagini, azioni penali e recupero dei beni
Come già detto, le forze dell’ordine dovrebbero contribuire attivamente al processo NRA fornendo dati e approfondimenti qualitativi. Per contro i risultati emersi dovrebbero consentire l’adozione di misure che migliorino la loro capacità di indagine e, conseguentemente, l’esercizio di azioni penali da parte dell’autorità giudiziaria e il recupero dei beni riconducibili a reati.
Le forze dell’ordine possono ottenere informazioni utili per adattare le proprie tecniche e strategie di intelligence e investigazione e per concentrarsi sui principali fattori di rischio costituendo, ad esempio task force specializzate.
5.2 Sensibilizzare e coinvolgere gli stakeholder
I risultati dell’NRA, compresi eventuali aggiornamenti, devono essere portati all’attenzione degli stakeholder al fine di aumentarne la consapevolezza e la comprensione del rischio e sviluppare il loro senso di responsabilità[39].
Andrebbero promossi, a tal fine, workshop, forum e webinar per condividere le migliori pratiche.
In argomento, va tenuto presente che in alcuni paesi la comunicazione è differenziata tra comunicazione pubblica e non pubblica: alcuni paesi pubblicano, infatti, diverse versioni di NRA, una riservata, destinata alle autorità[40], e una pubblica, e talvolta persino versioni specifiche per settore.
È questo tra l’altro l’orientamento sposato dall’Unione europea sia per il risultato della valutazione sovrannazionale che per quella nazionale relativamente alle informazioni classificate eventualmente contenute (cfr articoli 7 e 8 della Direttiva 1640/2024).
5.3 Migliorare il processo di NRA
Lo stesso processo di assessment può essere influenzato e migliorato in base ai risultati emersi.
Pertanto, dovrebbe essere adottata la regola della revisione periodica dei criteri che presiedono la gestione del processo per consentire modifiche per migliorarne l’efficacia.
Poiché una delle difficoltà potrebbe riguardare l’ottenimento di dati accurati e completi è importante investire in strumenti di raccolta e analisi introducendo moduli standardizzati per l’acquisizione delle informazioni, cercando così di eliminare eventuali ridondanze.
Un fattore fondamentale ai fini del miglioramento del processo è la verifica dell’efficacia delle misure di mitigazione del rischio introdotte dopo il precedente NRA in quanto, pur adottate con le migliori intenzioni, alcune misure potrebbero sortire conseguenze indesiderate come nel caso di quelle eccessivamente restrittive che potrebbero avere un impatto negativo in termini di inclusione finanziaria e impedire a comunità già emarginate di accedere ai servizi finanziari.
6. Prospettive e considerazioni conclusive
Dal documento diffuso dal GAFI a novembre 2024 emergono alcune parole chiave: in particolare, l’espressione “ecosistema AML” è significativa di una tendenza al fisiologico coinvolgimento nel processo di assessment di un novero di attori quanto più ampio possibile e non più limitato ai supervisori e ai regolatori.
Questo coinvolgimento è considerato dal GAFI la chiave per conseguire risultati efficaci e stimolare sforzi convincenti per il superamento delle carenze riscontrate.
L’Ordinamento Italiano ha già introdotto più che apprezzabili aperture: l’articolo 14 del d.lgs 231/2007 c.2, ha infatti previsto che il Csf possa essere integrato, ai fini dell’assessment nazionale, da rappresentanti di altre amministrazioni con competenze specifiche su temi di interesse e possa avvalersi della collaborazione di studiosi e rappresentanti del mondo accademico e delle associazioni private rappresentative delle categorie interessate.
Tra l’altro, dalle indicazioni dell’Organismo internazionale emerge che la ricognizione nazionale del rischio non possa assumere i tratti di un’attività estemporanea o semplicemente periodica: se periodica dovrà essere la conduzione della parte finale del processo[41] e la pubblicazione della sua sintesi, il giudizio dovrebbe essere frutto di un dispositivo che opera con continuità attraverso la raccolta dei dati, la loro selezione ed elaborazione.
La stessa struttura deputata alla conduzione del processo dovrebbe essere consolidata nella sua composizione e dovrebbe tenere riunioni periodiche durante l’intero lasso temporale che intercorre fra l’una e l’altra NRA.
Inoltre, per fornire maggiore credibilità ai risultati, dovrebbe essere resa nota, compatibilmente con il livello di classificazione dei dati, non solo la sintesi conclusiva ma l’intera documentazione o almeno anche quelle parti che consentano di evitare letture generalizzate o eccessivamente estensive e permettano di comprendere la scaturigine del giudizio conclusivo e non semplicemente di accettarlo.
Vanno tenute, infatti, presenti le conseguenze che potrebbero derivare dall’utilizzo di espressioni come “rischio alto ed elevato”, “influenza molto significativa”, “insufficiente sensibilità”, etc. che associate ad alcuni settori, prodotti, servizi o strutture fiduciarie potrebbero involontariamente decretarne – nell’ambito di una superficiale attività di de-risking da parte dell’industria – l’esclusione dal mercato e, comunque, conseguenze non proporzionate al rischio (ad esempio, un aggravamento delle incombenze a carico degli operatori e della clientela).
Guardando al futuro, gli assessment nazionali nell’ambito dell’Unione Europea saranno sempre più influenzati dalla valutazione del rischio a livello unionale: l’articolo 8 della Direttiva UE 2024/1640 stabilisce infatti che, nel condurre le valutazioni nazionali del rischio, gli Stati membri devono tener conto della relazione contenente la valutazione sovrannazionale, comprese le conclusioni di tale relazione.
Inoltre, il già citato articolo 7 della medesima Direttiva prevede che qualora la Commissione europea, nell’aggiornare la valutazione sovranazionale, identifichi nuovi rischi, possa raccomandare agli Stati membri di prendere in considerazione la possibilità di aggiornare le rispettive valutazioni nazionali o di effettuare valutazioni settoriali.
Viepiù, la Commissione potrà formulare raccomandazioni agli Stati membri riguardo alle misure idonee ad affrontare i rischi sovrannazionali, raccomandazioni che inevitabilmente orienteranno l’assessment nazionale.
Bibliografia
FATF (2013), National Money Laundering and Terrorist Financing Risk Assessment Guidance
FATF (2012-2023), International Standards on Combating Money Laundering and the Financing of Terrorism & Proliferation, Paris, France
Kuntay Celik, 2023, Lessons Learned from the First Generation of Money Laundering and Terrorist Financing Risk Assessments. Washington, DC, World Bank
Kannan Subramanian, The Money Laundering and Financing of Terrorism Eco-System, Notion Press, 2016
Building an effective Anti-money laundering ecosystem, position paper, Accountancy Europe, may 2021
Dialogo sul sistema dei controlli nelle società, Abbadessa P., 2015
Chintan Dave, Security Challenges with Blockchain, Orange Education Pvt Limited, 2024
[*] Le opinioni espresse non impegnano l’Istituto di appartenenza.
[1] FATF (2024), Money Laundering National Risk Assessment Guidance, FATF, Paris. La guida è dedicata esclusivamente al rischio di riciclaggio (ML).
[2] FATF (2013), National Money Laundering and Terrorist Financing Risk Assessment Guidance.
[3] FATF (2019), Terrorist Financing Risk Assessment Guidance.
[4] FATF (2021), Proliferation Financing Risk Assessment Guidance.
[5] In tal senso il GAFI laddove indica le attività di individuazione e valutazione dei rischi come base per l’applicazione dell’approccio basato sul rischio (RBA): “This approach should be an essential foundation to efficient allocation of resources … and the implementation of risk-based measures throughout the FATF Recommendations”, FATF (2012-2023), International Standards on Combating Money Laundering and the Financing of Terrorism & Proliferation, Paris, France, R.1 Assessing risks and applying a risk-based approach.
[6] “…countries should not see the NRA as a tick-box exercise”, FATF (2024), Money Laundering cit., Paris, Section 3: Post-NRA Actions, Align AML Strategies and Policies with Risk, p.49. Peraltro, la Direttiva UE 2024/1640 prevede che nella valutazione nazionale sia inserita una parte meramente descrittiva riguardo alla struttura istituzionale e alle principali procedure in materia di AML/CFT “…inclusi le FIU, le autorità fiscali e i procuratori, i meccanismi di cooperazione con omologhi all’interno dell’Unione o in paesi terzi, nonché le risorse umane e finanziarie assegnate…”, Direttiva (UE) 2024/1640 del Parlamento Europeo e del Consiglio del 31 maggio 2024 relativa ai meccanismi che gli Stati membri devono istituire per prevenire l’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo, che modifica la direttiva (UE) 2019/1937, e modifica e abroga la direttiva (UE) 2015/849, articolo 8, par.4.
[7] Designated non-financial businesses and professions. Per il dettaglio si veda FATF (2012-2023), International Standards cit., General Glossary, p.126.
[8] Virtual Asset Service Providers. Per il dettaglio si veda FATF (2012-2023), International Standards cit., General Glossary, p.137.
[9] “A national ML risk assessment is a process based on a methodology, agreed by all parties involved…”, FATF (2024), Money Laundering cit., Key Concepts Relevant to Assessing and Understanding ML Risks, p.10.
[10] “Countries should keep the assessments up-to-date, and should have mechanisms to provide appropriate information on the results to all relevant competent authorities and self-regulatory bodies (SRBs), financial institutions and DNFBP”, FATF (2012-2023), International Standards cit., Interpretive note to recommendation 1 (assessing ML/TF risk and applying a risk based approach), par.5, Assessing ML/TF risks.
[11] FATF-Style Regional Bodies.
[12] In un sondaggio della Banca Mondiale condotto tra un gruppo eterogeneo di esperti nazionali coinvolti negli assessment nazionali, il 9 per cento degli intervistati ha indicato che la mancanza di impegno politico era un ostacolo significativo per la qualità del loro assessment. Nello stesso sondaggio oltre il 60 per cento dei partecipanti segnalava che la mancanza di impegno politico, si era tradotto nella difficoltà nell’ottenere risorse, in problemi di coordinamento e nella mancanza di responsabilizzazione del gruppo di lavoro. Kuntay Celik, 2023, Lessons Learned from the First Generation of Money Laundering and Terrorist Financing Risk Assessments. Washington, DC, World Bank.
[13] A titolo d’esempio, Kannan Subramanian, The Money Laundering and Financing of Terrorism Eco-System, Notion Press, 2016; ed ancora, Building an effective Anti-money laundering ecosystem, position paper, Accountancy Europe, may 2021. Quest’ultimo documento, pur prendendo in considerazione un nucleo ristretto di soggetti (obliged entities – Oes – supervisors and policy makers) rimarcava comunque l’importanza di PPPs (Public-private partnerships), sottolineando come questi partenariati “…can play an important role in strengthening the AML ecosystem. Enhanced cooperation between OEs and authorities can better inform and improve understanding of the common threats. National actors should overcome the ‘taboo’ of cooperating with the private sector to combat financial crime…”, Building an effective cit, Facilitate collaboration between the private and public sector, p.9.
Nella sua sinteticità questo riferimento ha rappresentato un progresso rispetto all’atteggiamento quanto meno timido, manifestato dal GAFI nel 2013 in merito al peso da attribuire al settore privato ai fini dell’assessment nazionale.
In quella sede l’Organismo internazionale prendeva atto che “…Private sector involvement may also be valuable in building a complete picture of national ML/TF risks and may benefit the assessment process in a number of ways – as either as a source of information or by having representatives participating directly in some aspects of the process if the country considers that appropriate”, FATF (2013), National Money Laundering and Terrorist Financing Risk cit., 3. Organisation and information, 3.2 Sources of information, Involvement of the private sector and other actors, par.27, p.15.
[14] “Involving non-governmental stakeholders can supplement or validate information from LEA and supervisors to detail what is occurring in practice”, FATF (2024), Money Laundering cit., Section 1: NRA Preparation and Set-up, An Inclusive National Mechanism to Assess Risk, Involvement of Non-governmental Stakeholders Risks, p.15.
Interessante, al riguardo, l’esperienza tedesca riferita dal GAFI: in Germania, per la realizzazione di un questionario utile all’assessment da inviare al settore privato le autorità hanno preventivamente consultato un criminologo e un sociologo per garantire che la struttura del questionario e la formulazione delle domande fossero tali da garantire risposte imparziali e di facile analisi.
[15] A titolo di esempio il GAFI rammenta al lettore che, una volta che il processo NRA è formalmente iniziato, l’autorità del Regno Unito invia questionari ai soggetti sottoposti agli obblighi AML per chiedere il loro punto di vista su come i rischi sono cambiati dall’ultimo assessment.
[16] “It is a good practice to have a standardised template to facilitate the analysis of the information received”, FATF (2024), Money Laundering cit., p.15.
[17] Questa “scienza del precedente” dovrebbe portare a rispondere a domande ben precise quali, ad esempio:
- la metodologia e l’ambito individuati in passato erano appropriati?
- ci sono stati problemi con la raccolta dei dati che ora potrebbero essere risolti?
- sono state coinvolte tutte le autorità e gli altri stakeholder (mappatura degli stakeholder)?
- sono state riscontrate difficoltà nella comprensione del rischio da parte del settore privato?
- ci sono state difficoltà nella scelta e nell’implementazione di misure di mitigazione del rischio?
- quali dati mancavano che avrebbero potuto supportare ulteriormente le conclusioni in merito al rischio?
[18] Gli studi settoriali sono quegli approfondimenti finalizzati a un’analisi mirata dei rischi di riciclaggio specifici di un settore o sottosettore (targeted analysis) attraverso l’esame delle vulnerabilità e delle caratteristiche peculiari del settore compresi i servizi e i prodotti offerti, i profili dei clienti, i modelli aziendali adottati, il modo in cui si svolgono le transazioni finanziarie e qualsiasi tendenza consolidata ed emergente nel settore. Tale tipo di approfondimento dovrebbe anche occuparsi dell’eventuale esposizione del settore alle minacce transfrontaliere, che potrebbe variare a seconda delle dimensioni del settore, della posizione del paese e del fatto che i clienti siano cittadini del paese o meno. È importante tenere presente che dall’assessment nazionale potrebbe emergere una mancanza di conoscenze delle dinamiche di uno o più settori tale da indurre il paese, dopo l’adozione dell’NRA, a impostare prioritariamente una valutazione del rischio con riferimento ad un determinato settore.
Rispetto agli studi settoriali, gli approfondimenti tematici si concentrano su temi specifici o questioni trasversali foriere di rischi di riciclaggio, ad esempio l’uso di denaro contante o di pagamenti digitali che potrebbero avere un impatto su molti settori, o su una minaccia emergente, ad esempio una specifica tipologia di frode informatica, che il paese non ha ancora approfondito in dettaglio e che ha il potenziale per diventare un rischio significativo. Gli approfondimenti della specie sono per lo più incentrati sulle vulnerabilità del sistema AML, comprese eventuali lacune che potrebbero essere sfruttate, sui modus operandi e sulle conseguenze negative derivanti dal riciclaggio. Questi approfondimenti hanno generalmente una portata più ampia rispetto agli studi settoriali perché trattano temi che possono avere un impatto su più settori.
In tal senso, FATF (2024), Money Laundering cit., Annex A. Types of Risk Assessments that Complement the NRA, Sectoral and Thematic Risk Assessments, p.66.
[19] La FIU nazionale, oltre a fornire trends and typologies reports e statistiche in materia di segnalazioni di operazioni sospette, può svolgere un ruolo in sede di assessment nazionale fornendo informazioni di intelligence finanziaria raccolte presso giurisdizioni straniere con le quali abbia eventualmente sottoscritto Memorandum of Understanding (MOU).
[20] Le agenzie nazionali di intelligence sono in possesso o hanno, comunque, accesso a informazioni preziose sulle dinamiche geopolitiche e sulle minacce emergenti eventualmente connesse, nonché sulle reti criminali transnazionali e sugli aspetti evolutivi delle diverse tipologie di riciclaggio.
[21] La Commissione europea ha già pubblicato tre valutazioni del rischio sovranazionale (SNRA), nel 2017, 2019 e nel 2022. Una quarta SNRA sarà pubblicata nel 2025. Questo tipo di valutazione fornisce un’analisi completa di quei rischi che trascendono i confini nazionali, il che è particolarmente importante considerata la presenza di rischi transfrontalieri correlati al ML che non possono sempre essere identificati e mitigati attraverso l’azione di un singolo paese. Secondo l’AML Package, una valutazione del rischio AML/CFT a livello unionale sarà pubblicata ai sensi dell’articolo 7 della Direttiva (UE) 2024/1640 entro il 10 luglio 2028 e aggiornata ogni quattro anni. La Commissione europea potrà però aggiornare parti del rapporto più frequentemente, se opportuno.
[22] “This allows a progressive approach to be adopted to promote more optimal use of resources, particularly in resource-limited or lower capacity situations”, FATF (2024), Money Laundering cit., Section 1: NRA Preparation and Set-up, Scoping and Objective Setting, Different Types of Risk Assessments and their Interactions, p.19.
[23] Ad esempio, statistiche sul numero delle segnalazioni sospette ricevute dalla FIU e disseminate, numero delle indagini e azioni penali, condanne, ammontare dei proventi di reato confiscati, statistiche sulle azioni di vigilanza, sanzioni irrogate, etc.
[24] Fra gli Stati che hanno già realizzato o iniziato a realizzare una piattaforma digitale per la raccolta dei dati figurano Grecia e Finlandia. Fra i progetti cui guardare con maggiore interesse il GAFI indica anche l’Illicit Financial Flows Data (IFFD), un data base realizzato dalla Banca Mondiale sui proventi di reati e sui flussi finanziari illeciti paese per paese. L’IFFD è messo a disposizione delle autorità nazionali gratuitamente.
[25] “Such a determination can be deduced from the from a brief scan of the data that has been collected, context on the crime environment in the country, credible and reliable non-governmental information sources, as well as the intuition of the professionals that make up the team undertaking the NRA”, FATF (2024), Money Laundering cit., Section 2: Assessing and Understanding ML Risks, Environmental Scan, p.32.
[26] “Judiciary and prosecution authorities provide data on judgements related to predicate and money laundering offences, as well as statistics on prosecutions and convictions. This data is essential for understanding the effectiveness of the legal framework and mitigation measures used in combating money laundering and terrorist financing and identifying areas for improvement”, FATF (2024), Money Laundering cit., Section 1: NRA Preparation and Set-up, Collection of Information and Data, p.24.
[27] “It should be stressed that something identified on the list at this stage is not automatically classified as having higher (or lower) risk – it has simply been identified as sufficiently relevant to go into mix of risks to be analysed”, FATF (2024), Money Laundering cit. p.33.
[28] FATF (2024), Money Laundering cit. p.34.
[29] In tema di valutazione delle conseguenze il GAFI richiama il lettore a non concentrarsi solo sul contesto nazionale che potrebbe anche non riflettere la vera portata delle conseguenze stesse, ma a considerare anche eventuali effetti transfrontalieri.
Si tenga presente sul punto che in Italia l’analisi delle minacce include anche la stima delle conseguenze che vengono misurate utilizzando sostanzialmente tre parametri: la stima finanziaria (cioè l’ammontare dei proventi generati dal comportamento illecito); la sanzione prevista in quanto misura del disvalore sociale attribuito alla minaccia; la frequenza con cui il comportamento illecito si verifica sul territorio. La combinazione di questi parametri genera un indicatore che supporta la valutazione delle minacce.
[30] Conoscere gli autori dei comportamenti illeciti significa comprendere la complessità del fenomeno criminale che può coinvolgere gruppi criminali organizzati, white-collar, funzionari pubblici corrotti, gruppi a basso reddito impiegati ad esempio come money mule, etc. Ciò consente, come detto di modulare le ulteriori azioni conoscitive e acquisire una visione olistica: ad esempio, nel caso di gruppi criminali organizzati transnazionali si renderà opportuno, ai fini di un assessment nazionale più solido, il coinvolgimento anche di partner stranieri.
[31] “Underestimating the impact of transnational money laundering can significantly undermine the effectiveness of country, regional, and even the global AML framework”, FATF (2024), Money Laundering cit., Analysis of Threats, p.38.
[32] Proprio nell’ottica di fornire alle autorità la possibilità di adottare misure post assessment il GAFI chiede che le ragioni del giudizio sulla minaccia venga documentato.
[33] Sull’argomento specifico, Chintan Dave, Security Challenges with Blockchain, Orange Education Pvt Limited, 2024.
[34] “Countries should have national AML/CFT/CPF policies, informed by the risks1 identified, which should be regularly reviewed, and should designate an authority or have a coordination or other mechanism that is responsible for such policies”, FATF (2012-2023), International Standards cit., R.2 National cooperation and coordination.
[35] “The conduct of an NRA should not be a bureaucratic process without outcomes”, FATF (2024), Money Laundering cit., Align AML Strategies and Policies with Risk, p.48.
[36] Sul concetto di “tick-box approach”, Dialogo sul sistema dei controlli nelle società, a cura di P. Abbadessa, 2015.
[37] Istituito con decreto legge del 12 ottobre 2001, n. 369 (convertito, con modificazioni, dalla legge 14 dicembre 2001, n. 431) e disciplinato con il decreto legislativo 22 giugno 2007, n. 109, il Csf è presieduto dal Direttore generale del Tesoro ed è composto da rappresentanti di altre amministrazioni e autorità: Ministero dell’economia e delle finanze; Ministero dell’interno; Ministero della giustizia; Ministero degli affari esteri e della cooperazione internazionale; Ministero dello sviluppo economico; Banca d’Italia; Commissione per le società e la borsa; Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo; Unità di informazione finanziaria; Guardia di finanza; Direzione investigativa antimafia; Arma dei carabinieri; Direzione nazionale antimafia; Agenzia delle dogane e dei monopoli.
[38] “Through investing in capacity building and training, a country can enhance the competence and professionalism of their AML personnel, thereby improving the effectiveness of their efforts to combat financial crime”, FATF (2024), Money Laundering cit. p.54.
[39] Nell’Ordinamento Italiano l’articolo 14, c.4 del d.lgs 231/2007 prevede che i risultati dell’analisi debbano essere resi disponibili ai soggetti obbligati e agli organismi di autoregolamentazione ai fini della valutazione e predisposizione delle misure di mitigazione del rischio rilevato.
[40] Infatti, potrebbero esserci alcuni aspetti del NRA che un paese non desidera rendere disponibili al pubblico, ad esempio fonti di intelligence riservate, preoccupazioni per la sicurezza nazionale e il potenziale impatto economico dei rischi.
[41] Ai sensi dell’articolo 14 d.lgs 231/2007, c.1, in Italia l’assessment ha cadenza triennale, salva la facoltà del Csf di procedere al relativo aggiornamento quando insorgono nuovi rischi e ogni qualvolta lo ritenga opportuno. Tale disposizione è sostanzialmente in linea con le indicazioni contenute nella Direttiva 2024/1640 che all’articolo 8, c.1, stabilisce che la valutazione nazionale del rischio debba essere riesaminata da ciascuno Stato almeno ogni quattro anni.
