© Tutti i diritti riservati. Vietata la ripubblicazione cartacea ed in internet senza autorizzazione. È consentito il link diretto a questo documento.
La Commissione UE verso gli Stati Uniti d’europa seguendo l’esempio degli USA con la nuova normativa antiriciclaggio The Anti Money Laundering Act 2021
Di Emanuela Montanari – Compliance Officer, Responsabile Antiriciclaggio, Delegato Sos
Il Piano d’azione AML/CFT dell’Unione
Il 7 maggio 2020 la Commissione Europea con la Comunicazione C(2020) 2800 final ha adottato un Piano d’azione per una politica integrata dell’Unione in materia di prevenzione del riciclaggio di denaro e del finanziamento del terrorismo allo scopo di rafforzare il quadro AML/CFT.
Sarà predisposta una valutazione d’impatto – anche per quanto riguarda l’impatto sui diritti fondamentali e in particolare il diritto alla protezione dei dati personali – per valutare le diverse opzioni in termini di modifiche della legislazione.
Le linee guida del piano d’azione da realizzare entro il primo trimestre 2021 sono le seguenti:
- Effettiva attuazione del quadro esistente dell’UE in materia di AML/CFT attraverso le Infrazioni e i procedimenti giudiziari e lo studio sull’applicazione della IV Direttiva AML, la valutazione sovranazionale del rischio, l’interconnessione dei registri sulla titolarità effettiva, le raccomandazioni specifiche per Paese attività svolte attualmente dall’ABE
- Rafforzare e sviluppare il corpus unico di norme AML/CFT dell’UE attraverso una proposta legislativa che individui i settori da disciplinare mediante un regolamento unitamente a una direttiva modificata
- Realizzare a livello UE la vigilanza AML/CFT attraverso una proposta legislativa
- Istituire un meccanismo di sostegno e coordinamento per le unità di informazione finanziaria con una proposta legislativa per trasferire alla Commissione la gestione tecnica di FIU.net
- Applicazione delle disposizioni di diritto penale e scambio di informazioni con l’Istituzione dell’EFCEC, gli Orientamenti sui partenariati pubblico-privato ed eventuale parere del comitato europeo per la protezione dei dati (EDPB), il monitoraggio del recepimento e dell’attuazione delle direttive in materia di diritto penale e cooperazione e il miglioramento dello scambio di informazioni transfrontaliere tra tutte le autorità competenti
- Rafforzamento della dimensione internazionale con una nuova metodologia perfezionata della Commissione per l’individuazione di paesi terzi ad alto rischio e atti delegati
Le Linee Guida EBA in attuazione della Direttiva 2013/36/EU sulla Governance
L’EBA ha pubblicato i suoi orientamenti finali sulla governance e sui sistemi di controlli interni il 02 luglio 2021 in attuazione delle modifiche introdotte dalla quinta direttiva sui requisiti patrimoniali (CRD V art. 74 direttiva 2013/36/UE) e dalla direttiva sulle imprese di investimento (IFD) per armonizzare i processi di governance degli enti creditizi su base individuale e consolidata, in particolare per quanto riguarda la diversità di genere, il rischio di riciclaggio di denaro, di finanziamento del terrorismo e la gestione dei conflitti di interesse, anche nel contesto dei prestiti e di altre operazioni con i membri dell’organo di gestione e le parti correlate. Si tratta delle Linee Guida sulla governance interna (i.e. “EBA Guidelines on Internal Governance under Directive 2013/36/EU”) e delle Linee Guida congiunte EBA-ESMA sulla valutazione dell’idoneità dei membri dell’organo amministrativo e del personale che riveste ruoli chiave (i.e. “Final report on joint ESMA and EBA Guidelines on the assessment of the suitability of members of the management body and key function holders under Directive 2013/36/EU and Directive 2014/65/EU”) che recepiscono le modifiche introdotte dalla V direttiva sui requisiti patrimoniali (Direttiva EU 2019/878, cosiddetta “CRD V”) e dalla direttiva sulle imprese di investimento (Direttiva EU 2019/2034, cosiddetta “IFD”) che si applicheranno dal 31 dicembre 2021.
Le nuove Linee Guida promuovono una sana e prudente gestione e cultura del rischio, attribuendone agli organi aziendali specifiche responsabilità, focalizzano le norme sul governo e la gestione dei rischi aziendali, con particolare attenzione ai rischi di governance e ai rischi di riciclaggio e di finanziamento del rischio terrorismo. Anche le Linee Guida in materia di fattori e rischi di sostenibilità definiscono la necessità, per le istituzioni, di rivedere le competenze e la composizione quali-quantitativa degli organi sociali per garantire un migliore bilanciamento di genere e l’adeguata gestione del rischio ML/TF. Gli orientamenti rafforzano il quadro normativo per prevenire i conflitti di interessi e obbligano ad attuare una politica di remunerazione neutrale dal punto di vista del genere, evitando qualsiasi forma di discriminazione. Le Linee Guida rimarcano la responsabilità degli amministratori, nell’esercizio delle proprie funzioni di supervisione strategica, sulle strategie di governo, gestione, supervisione e monitoraggio dei rischi aziendali garantendo un framework di gestione del rischio che tenga conto del rischio di governance che ha effetti sui rischi reputazionali, in particolare, la lotta al riciclaggio di denaro e al finanziamento del terrorismo considerata di fondamentale importanza per mantenere la stabilità e l’integrità del sistema finanziario. Le novità introdotte impattano principalmente sulla governance e sul sistema dei controlli interni. Viene confermata la centralità dell’organo amministrativo nell’ambito del monitoraggio dei rischi ML/TF. chiamato a garantire l’adozione di politiche chiare e documentate che stabiliscano in concreto i comportamenti non ammessi legati a illeciti professionali, reati economici e finanziari inclusi frode, riciclaggio di denaro e finanziamento del terrorismo (ML/TF), pratiche antitrust, sanzioni finanziarie, concussione e corruzione, manipolazione di mercato, vendita di prodotti inadeguati e altre violazioni delle leggi a tutela dei consumatori, reati fiscali, commessi direttamente o indirettamente, anche attraverso schemi di arbitraggio dei dividendi illeciti o vietati, divulgazione di informazioni inesatte. I nuovi orientamenti di governance interna prescrivono che tutti gli enti rilevanti istituiscano un comitato antiriciclaggio e di contrasto al finanziamento del terrorismo. Nel quadro del sistema dei controlli interni, si consolida la previsione di misure di valutazione, monitoraggio e attenuazione dei rischi reputazionali collegati ai fenomeni ML/TF e le responsabilità delle funzioni di controllo inclusa la conformità ai requisiti AML/CTF, nonché la possibilità di istituire una funzione separata di conformità AML/TF come funzione di controllo indipendente e di identificare almeno un membro del consiglio di amministrazione responsabile dell’attuazione delle disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla direttiva antiriciclaggio (Direttiva EU 2015/849 – AMLD). Tale membro deve avere buone conoscenze, competenze ed esperienza in materia di identificazione e valutazione del rischio ML/TF, delle politiche, controlli e procedure AML/CFT e una buona comprensione della misura in cui il modello di business adottato dell’ente lo espone a tali rischi. La capacità degli amministratori di comprendere i rischi ML/TF si inserisce nel contesto delle valutazioni dell’idoneità collettiva dei membri dell’organo amministrativo e della valutazione dei titolari di funzioni chiave. A tal proposito, deve essere garantita ed eventualmente riconsiderata l’idoneità dell’organo, sia su base individuale che collettiva, qualora ci siano fondati sospetti di riciclaggio o finanziamento del terrorismo. Considerazioni analoghe riguardano anche il personale che riveste ruoli chiave in particolare il Responsabile della conformità AML/CTF ossia il Responsabile della Funzione Antiriciclaggio.
Linee guida EBA sul ruolo del Responsabile della Conformità AML/CFT e sulle politiche e procedure relative alla gestione della conformità AML/CFT.
L’Autorità bancaria europea (EBA) ha avviato in data 2/8/2021 una consultazione pubblica sui nuovi orientamenti in materia di ruolo, compiti e responsabilità dei Responsabili della lotta al riciclaggio di denaro e del finanziamento del terrorismo (Compliance Officer AML/CFT) – Linee guida EBA/CP/2021/31 del 29/07/2021 “Sulle politiche e procedure in relazione alla gestione della conformità e al ruolo e responsabilità del Responsabile della Conformità AML/CFT ai sensi dell’articolo 8 e del capo VI della direttiva (UE) 2015/849.”
Gli orientamenti comprendono disposizioni sul più ampio sistema di governance AML/CFT, anche a livello del gruppo. La consultazione si svolge fino al 2 novembre 2021 e, una volta adottati, gli orientamenti si applicheranno a tutti gli operatori del settore finanziario che rientrano nel campo di applicazione della direttiva antiriciclaggio.
Gli orientamenti affrontano in modo esaustivo, per la prima volta a livello dell’UE, l’intero sistema di governance AML/CFT. Vengono fissate chiare indicazioni sul ruolo, i compiti e le responsabilità del Responsabile della conformità AML/CFT e dell’organo di gestione e sul modo in cui interagiscono. I responsabili della conformità AML/CFT devono disporre di un livello sufficiente di competenze e anzianità e il potere di proporre tutte le misure necessarie per garantire la conformità e l’efficacia delle misure AML/CFT all’organo di gestione nella sua funzione di supervisione e gestione.
Le linee guida specificano anche i compiti e il ruolo del membro del Consiglio di Amministrazione, o del Senior Manager qualora non sussista alcun Consiglio di Amministrazione, responsabile dell’AML/CFT e il ruolo dei Responsabili della conformità AML/CFT del gruppo. Poiché le informazioni che provengono dall’organo di gestione devono essere sufficientemente complete da consentire un processo decisionale informato, gli orientamenti stabiliscono quali informazioni devono essere incluse nella Relazione del Responsabile della conformità AML/CFT riportate all’organo di gestione. Nel caso di Gruppi, il Responsabile della conformità AML/CFT della società capogruppo deve essere nominato presso le società del Gruppo per garantire l’istituzione e l’attuazione di politiche e procedure AML/CFT efficaci a livello di gruppo e per affrontate in modo efficace eventuali carenze nel quadro AML/CFT che interessano l’intero gruppo.
Le disposizioni sono concepite per essere applicate secondo principi di proporzionalità, tenendo conto della diversità degli operatori del settore finanziario che rientrano nel campo di applicazione della direttiva antiriciclaggio. Sono inoltre in linea con gli attuali orientamenti dell’ESA, in particolare: gli orientamenti sulla governance interna ai sensi della direttiva sui requisiti patrimoniali Direttiva 2013/36/EU, gli orientamenti congiunti dell’ESMA e dell’EBA sulla valutazione di idoneità dei membri dell’organo di gestione e dei titolari delle funzioni rilevanti, gli orientamenti sulla cooperazione e lo scambio di informazioni tra autorità di vigilanza prudenziale, autorità di vigilanza AML/CFT e unità di informazione finanziaria ai sensi della direttiva 2013/36/UE e gli orientamenti sugli accordi di esternalizzazione di servizi. Ai sensi dell’articolo 16, paragrafo 3, del regolamento (UE) n. 1093/2010, le autorità competenti devono notificare all’EBA l’intenzione di conformarsi alle linee guida, o i motivi per non adeguarsi e, in assenza di notifica, saranno considerate non conformi. L’EBA ha elaborato tali orientamenti in funzione del suo mandato di coordinare e monitorare la lotta contro il riciclaggio nel settore finanziario dell’UE a seguito della valutazione sovranazionale dei rischi (SNRA) della Commissione Europea del 2019 con la quale si riteneva necessario elaborare orientamenti che “chiarissero il ruolo dei Responsabili della conformità AML/CFT negli enti creditizi e finanziari”.
Le linee guida EBA modificano il ruolo attuale del Responsabile Antiriciclaggio secondo le “Disposizioni in materia di organizzazione, procedure e controlli interni volti a prevenire l’utilizzo degli intermediari a fini di riciclaggio e di finanziamento del terrorismo” di Banca d’Italia di cui al provvedimento del 26 marzo 2019. Tale figura non sempre è responsabile della conformità AML/CFT e delle segnalazioni di operazioni sospette in quanto sovente e soprattutto nelle istituzioni creditizie di significative dimensioni la funzione di Responsabile delle segnalazioni di operazioni sospette è separata rispetto a quella di Responsabile della Funzione Antiriciclaggio, anche se non è vietato unificare i ruoli. In alcuni casi il Responsabile della Funzione Antiriciclaggio e il Responsabile delle Segnalazioni di operazioni sospette coincide con il Compliance Officer occupandosi della conformità dell’intera struttura organizzativa dell’Istituzione finanziaria. Tali concentrazioni di ruoli, compiti e responsabilità devono essere unite all’assegnazione di una adeguata struttura organizzativa della Funzione e di idonee risorse, pena l’impossibilità di portare avanti le attività imposte dalla legge. La novità maggiormente significativa tuttavia è costituita dal nuovo ruolo del Compliance Officer che deve informare e condividere le sue responsabilità con il Compliance Manager – il membro dell’organo amministrativo responsabile della conformità AML/CFT – ed il Board of director. Fra i nuovi compiti assegnati al Compliance Officer AML/CFT vi è il ruolo consultivo sulla decisione di on-boarding dei clienti a rischio alto o sulla riclassificazione del rischio di quelli esistenti a meno che il potere di approvare l’istituzione di tali rapporti sia affidato direttamente al compliance officer AML/CFT. Il potere di autorizzare l’apertura di rapporti a clienti ad alto rischio è una novità di assoluto rilievo per una Funzione tipicamente appartenente al novero delle Funzioni di controllo di secondo livello. Tale duplice funzione sia di controllo che autorizzativa si rileva nel sistema francese nelle banche di grandi dimensioni. In Italia invece la connotazione di controllo si contrappone a quella di gestione per cui le decisioni sulla gestione dei rischi dell’ente ricadono sugli alti dirigenti. Le linee guida confermano tale orientamento stabilendo che il Compliance Officer non deve essere subordinato a coloro che hanno la responsabilità di gestire l’ente, deve avere un riporto diretto e indipendente all’organo amministrativo e deve essere assegnata la responsabilità in materia di AML/CFT ad un membro del Board. Si ritiene auspicabile tale nuova connotazione del ruolo del Compliance Officer per mitigare i rischi ML/TF dell’istituzione finanziaria per effetto delle competenze e delle conoscenze del Responsabile di tale Funzione che si estendono dal quadro normativo alla valutazione dei rischi per i casi concreti esaminati e segnalati alla FIU. Tale innovazione deve tutttavia essere accompagnata da un adeguato inquadramento del Compliance Officer che deve almeno essere considerato fra gli alti dirigenti. Le nuove linee guida non sono meri orientamenti ma disposizioni vincolanti, devono essere attuate o, in caso contrario, devono essere motivate le ragioni che determinano la mancata attuazione. EBA dovrà valutare tale non conformità. Pertanto le disposizioni regolamentari nazionali degli Stati membri dovranno essere necessariamente adeguate.
Ruolo e responsabilità dell’organo di gestione nella sua funzione di supervisione strategica nel framework AML/CFT
Le politiche, i controlli e le procedure AML/CFT devono essere approvate dall’organo di gestione nella sua funzione di supervisione strategica il quale deve sovrintendere all’attuazione per una governance adeguata ed efficace e un sistema dei controlli interni che garantiscano la conformità nella prevenzione del riciclaggio di denaro e del finanziamento del terrorismo (ML/TF). Tale organo deve possedere adeguate conoscenze ed essere in grado di comprendere i rischi ML/TF relativi alle attività e al modello di business dell’istituzione finanziaria, nonché conoscere il quadro giuridico relativo alla prevenzione del ML/TF. Deve svolgere i seguenti compiti:
a) essere informato dei risultati della autovalutazione del rischio ML/TF;
b) sovrintendere all’attuazione di politiche e procedure AML/CFT adeguate ed efficaci alla luce dei rischi ML/TF a cui l’ente finanziario è esposto per garantire che siano prese misure correttive laddove necessario;
c) esaminare almeno una volta all’anno la relazione sull’attività del Responsabile della conformità AML/CFT e ottenere aggiornamenti per le attività che espongono l’ente a maggiori rischi ML/TF;
d) valutare l’effettivo funzionamento della funzione di compliance AML/CFT, almeno una volta all’anno, in particolare l’adeguatezza delle risorse umane e tecniche assegnate.
L’organo di gestione deve garantire che il membro responsabile della attuazione delle disposizioni legislative, regolamentari e amministrative di cui alla Direttiva (UE) 2015/849:
a) possieda adeguate conoscenze, capacità ed esperienza in materia di identificazione, valutazione e gestione dei rischi ML/TF e sull’attuazione di politiche, controlli e procedure;
b) abbia una buona conoscenza del modello di business dell’ente e del settore in in cui opera e in che misura tale modello di business espone l’operatore a rischi ML/TF;
c) sia informato tempestivamente delle decisioni che possono incidere sui rischi cui è esposto l’operatore.
L’organo di gestione, nella sua funzione di supervisione strategica deve avere accesso a dati e informazioni dettagliate per adempiere ai suoi obblighi AML/CFT in modo efficace, in particolare ai rapporti del Responsabile AML/CFT, dell’internal audit, dei revisori, dell’autorità competente, della FIU e ai provvedimenti sanzionatori.
Ruolo dell’organo di gestione nella sua funzione di gestione nell’AML/CFT
In relazione alle politiche, ai controlli e alle procedure interne l’organo di gestione nella sua funzione di gestione ha i seguenti compiti e responsabilità AML/CFT:
a) istituite una struttura organizzativa idonea per attuare la strategia AML/CFT definita dall’organo di gestione nella sua funzione di supervisione strategica, prestando particolare attenzione all’adeguatezza delle risorse umane e tecniche assegnate al Responsabile della Funzione AML/CFT che deve avere un’unità dedicata per assisterlo;
b) attuare le politiche e procedure interne AML/CFT;
c) approvare la relazione sull’attività del Responsabile della conformità AML/CFT e assicurarne la completezza;
d) garantire segnalazioni di operazioni sospette adeguate, tempestive alle autorità competenti;
e) laddove alcune funzioni operative del compliance officer AML/CFT siano esternalizzate, approvare un accordo con il fornitore di servizi in linea con le Linee guida ESA sugli accordi di esternalizzazione e ricevere relazioni periodiche dal fornitore per informare l’organo di gestione.
Identificazione del membro dell’organo di gestione responsabile AML/CFT
Il membro dell’organo di gestione responsabile AML/CFT deve avere conoscenze, competenze ed esperienza adeguate per quanto riguarda l’identificazione, la valutazione e la gestione dei rischi ML/TF e l’attuazione di politiche, controlli e procedure AML/CFT, conoscere il modello di business dell’operatore e il settore in cui opera nonché l’esposizione dell’operatore ai rischi. Deve disporre di tempo e risorse sufficienti per svolgere efficacemente i suoi compiti AML/CFT e informare regolarmente e senza ritardo, l’organo di gestione nella sua funzione di supervisione strategica e non deve avere conflitti di interesse. Laddove non vi sia alcun organo di gestione, gli operatori del settore finanziario dovrebbero nominare un dirigente responsabile dell’attuazione delle leggi e dei regolamenti per conformarsi alla Direttiva (UE) 2015/849. In particolare deve:
- garantire che le politiche, le procedure e le misure di controllo interno AML/CFT siano adeguate e proporzionate alle caratteristiche dell’ente e dei rischi ML/TF a cui è esposto;
- garantire che l’organo di gestione adotti un sistema di controllo interno;
- effettuare con l’organo di gestione una valutazione sulla nomina di un responsabile della conformità AML/CFT separato con un’unità AML/CFT dedicata per assisterlo con personale adeguato coinvolgendolo nel reclutamento;
- assicurare la periodica informativa all’organo amministrativo sull’attività svolta dal responsabile della conformità AML/CFT, ferma restando la riservatezza delle segnalazioni di operazioni sospette;
- formulare raccomandazioni all’organo di gestione e assicurare che siano prese misure adeguate per porre rimedio a eventuali violazioni AML/CFT individuate riferendo in merito all’attuazione delle azioni correttive;
- garantire che il responsabile della conformità AML/CFT abbia accesso diretto a tutte le informazioni necessarie per svolgere i suoi compiti, disponga di risorse umane e tecniche e strumenti sufficienti per essere in grado di svolgere adeguatamente i compiti affidatigli e sia informato delle violazioni in materia di AML/CFT emerse nell’ambito del sistema di controllo interno e da carenze nell’attuazione delle disposizioni riscontrate dalle autorità di vigilanza.
Il membro dell’organo di gestione responsabile AML/CFT deve essere il principale punto di contatto per il compliance officer AML/CFT che deve garantire che qualsiasi problematica sia presa in esame dall’organo di gestione. Se l’alta direzione decide di non seguire le raccomandazioni del Responsabile della conformità AML/CFT deve motivare la decisione.
Ruolo e responsabilità del responsabile della conformità AML/CFT – Nomina del compliance officer AML/CFT
Il responsabile della conformità AML/CFT deve avere un livello che implichi il potere di proporre, di propria iniziativa, tutte le misure necessarie per garantire la conformità e l’efficacia delle misure interne AML/CFT all’organo di gestione.
L’organo di gestione nomina un responsabile della conformità AML/CFT e, tenuto conto dell’ampiezza e della complessità dell’ente, del settore e la sua esposizione al rischio di ML/TF e del principio di proporzionalità, determina se vi è una necessità di un ruolo separato. Qualora le funzioni del responsabile della conformità AML/CFT siano affidate a un dipendente che già ricopre altre mansioni all’interno dell’ente, l’organo di gestione deve considerare eventuali conflitti di interesse, adottare misure per evitarli garantendo che tale persona possa dedicare tempo sufficiente alle funzioni di responsabile della conformità AML/CFT. Quest’ultimo deve risiedere e lavorare nel paese di costituzione dell’ente. L’ente deve disporre di sistemi per garantire che il responsabile della conformità AML/CFT disponga delle necessarie conoscenze, comprenda le leggi e i regolamenti AML/CFT e svolga le sue funzioni in modo efficace e indipendente.
L’ente deve garantire che il responsabile della conformità AML/CFT abbia accesso a tutti i documenti e sistemi interni necessari per svolgere i propri compiti, sia prontamente disponibile a soddisfare le richieste della FIU locale, dimostri alla sua autorità competente che le misure che ha posto in essere sono adeguate ed efficaci. Il responsabile della conformità AML/CFT deve poter assegnare i propri compiti ad altri dipendenti che agiscono sotto la sua direzione e supervisione, a condizione che la responsabilità ultima per l’effettivo adempimento di tali compiti resti in capo allo stesso. Al fine di garantire l’indipendenza del responsabile della conformità AML/CFT, devono essere soddisfatte le seguenti condizioni:
a) non deve essere subordinato a una persona che ha la responsabilità di gestire l’ente che il suddetto responsabile deve controllare;
b) deve in ogni momento avere accesso illimitato e diretto a tutte le informazioni necessarie per il svolgimento della sua funzione. La decisione su quali informazioni abbia bisogno di accedere è in capo e nella competenza unicamente del Responsabile della conformità AML/CFT;
c) deve avere un riporto diretto e indipendente all’organo di gestione dell’ente.
Criteri di proporzionalità per la nomina di un Responsabile della conformtià AML/CFT
L’Istituzione finanziaria deve nominare un responsabile della conformità AML/CFT a meno che non abbia un numero molto limitato di dipendenti. Qualora l’organo di gestione decida di non nominare un responsabile della conformità AML/CFT, deve documentare i motivi della sua decisione e giustificarla tenendo conto:
a) natura dell’attività dell’operatore e rischi ML/TF associati, in base alla tipologia di clienti, l’area geografica, i prodotti e servizi offerti ed i canali di distribuzione,
b) la dimensione dell’ente, il numero dei suoi clienti, il numero e il volume delle sue operazioni e il numero dei suoi dipendenti full time equivalent;
c) la forma giuridica dell’operatore finanziario e se fa parte di un gruppo.
Qualora non sia nominato un responsabile della conformità AML/CFT, l’operatore finanziario deve assegnare i compiti al membro dell’organo di amministrazione o al dirigente preposto AML/CFT o ad un altro funzionario a livello dirigenziale anche con altri compiti o esternalizzando determinate funzioni operative.
Quando un dipendente agisce come responsabile della conformità AML/CFT per due o più entità del gruppo o è incaricato di altri compiti (ad esempio consulenza legale), l’operatore finanziario deve garantire che questi molteplici incarichi consentano comunque al responsabile della conformità AML/CFT di adempiere alle sue funzioni in modo efficace. Il responsabile della conformità AML/CFT deve operare per entità diverse solo se le entità fanno parte dello stesso gruppo.
Idoneità, capacità e competenze
Gli enti finanziari devono adottare misure necessarie per verificare prima della nomina se il Compliance Officer AML/CFT possiede:
a) la reputazione, l’onestà e l’integrità necessarie per svolgere le proprie funzioni in aggiunta ai criteri stabiliti per i Responsabili delle Funzioni chiave in linea con le Linee guida congiunte EBA ed ESMA sulla valutazione dell’idoneità dei membri dell’organo di gestione e dei titolari di funzioni chiave ESMA 35-36-2319 EBA/GL/2021/06;
b) le necessarie competenze e competenze in materia di AML/CFT, compresa la conoscenza del quadro normativo AML/CFT e dell’attuazione di politiche, controlli e procedure;
c) sufficiente conoscenza e comprensione dei rischi ML/TF, con rilevante esperienza in materia di identificazione, valutazione e gestione dei rischi ML/TF, in relazione al modello di business dell’operatore finanziario;
d) la sufficiente disponibilità per svolgere le proprie funzioni in modo efficace, indipendente, e autonomamente.
Gli operatori del settore finanziario devono applicare principi di sana e prudente gestione anche della continuità operativa della Funzione di conformità AML/CFT definendo un piano di continuità operativa con la nomina di un delegato con adeguate capacità e competenze per assumere le funzioni di Responsabile della conformità AML/CFT nel caso in cui il titolare della carica sia assente per un periodo di tempo o la sua integrità sia messa in discussione e il responsabile della conformità AML/CFT deve contribuire ad assicurare le procedure indispensabili del piano di continuità operativa.
Compiti e ruolo del compliance officer AML/CFT
Il ruolo e le responsabilità del Responsabile della conformità AML/CFT devono essere chiaramente definiti.
a) Sviluppo di un quadro sulla valutazione del rischio
In relazione all’identificazione e alla valutazione del rischio il Responsabile della conformità AML/CFT deve sviluppare un approccio sul rischio ML/TF in linea con le Linee guida EBA sui fattori di rischio ML/TF EBA/GL/2021/02, riferire i risultati dell’attività di autovalutazione del rischio ML/TF all’organo di gestione o al senior manager responsabile AML/CFT e deve proporre all’organo di gestione le misure da adottare per mitigare tali rischi. Non deve essere intrapresa nessuna nuova attività fino a quando non siano presenti risorse adeguate per comprendere e gestire i rischi associati.
b) Preparare politiche e procedure
Il responsabile della conformità AML/CFT deve garantire che siano messe in atto politiche e procedure adeguate, efficaci
e commisurate ai rischi ML/TF che l’operatore ha identificato, in particolare:
- formulare proposte in merito alle politiche e procedure AML/CFT che devono essere adottate dall’ente, nonché i controlli che devono essere attuati;
- garantire che le politiche e le procedure AML/CFT siano attuate efficacemente e siano revisionate se necessario;
- affrontare qualsiasi cambiamento nei quadro normativo o nei rischi ML/TF o le carenze individuate attraverso il monitoraggio o l’attività di vigilanza.
Le politiche, i controlli e le procedure devono includere almeno:
- la metodologia di valutazione del rischio ML/TF a livello aziendale;
- la due diligence del cliente e il processo di accettazione della clientela, in particolare ad alto rischio;
- il reporting interno (analisi delle operazioni inusuali) e presentazione di segnalazioni alla FIU;
- la tenuta dei registri;
- il monitoraggio della Funzione di compliance sulla conformità AML/CFT.
c) Clienti, compresi i clienti ad alto rischio
Il responsabile della conformità AML/CFT deve predisporre politiche e procedure per conformarsi ai requisiti di adeguata verifica della clientela, inclusi quelli previsti dalle Linee guida EBA sui fattori di rischio ML/TF. Deve esercitare un ruolo consultivo prima che venga presa una decisione definitiva dal senior management sull’on-boarding di nuovi clienti ad alto rischio o sulla riclassificazione di quelli esistenti, a meno che il potere di approvare l’istituzione di tali rapporti sia affidato direttamente al compliance officer AML/CFT.
d) Monitoraggio della conformità
Il responsabile della conformità AML/CFT risponde del monitoraggio continuo circa l’attuazione delle misure, delle politiche, dei controlli e delle procedure adottate per assicurare il rispetto da parte dell’ente dei propri obblighi in materia di AML/CFT, garantire l’efficacia dei controlli AML/CFT applicati dalle linee di business e dalle unità interne ed eseguire test a campione per stabilire i livelli di conformità dell’ente. Deve monitorare che le politiche, i controlli e le procedure AML/CFT siano valutate e aggiornate periodicamente qualora vengano riscontrate carenze, emergano rischi o il quadro giuridico sia cambiato. Inoltre deve formulare raccomandazioni all’organo di gestione sulle misure da intraprendere in relazione alle risultanze di verifiche ispettive dell’autorità di vigilanza e degli audit effettuati dalla funzione di audit interno o dal revisore esterno.
e) Riporto all’organo di gestione
Il responsabile della conformità AML/CFT deve consigliare l’organo di gestione direttamente o tramite il membro dell’organo di gestione responsabile AML/CFT sulle misure da adottare per garantire il rispetto delle leggi e dei regolamenti e deve fornire la sua valutazione sul possibile impatto di eventuali cambiamenti nel contesto giuridico, sulle attività e sulla conformità della struttura dell’ente. In particolare deve portare all’attenzione del membro dell’organo di gestione:
- le aree in cui i controlli AML/CFT devono essere implementati o migliorati;
- una relazione sullo stato di avanzamento di eventuali action plan almeno una volta all’anno nell’ambito della relazione delle attività svolte o in caso di necessità o periodicamente a seconda dell’intensità dei miglioramenti necessari, per informare sul livello di esposizione ai rischi ML/FT e le misure adottate o raccomandate per gestirli efficacemente. La relazione del responsabile della conformità AML/CFT deve essere condivisa con l’autorità, proporzionata alla natura delle attività dell’ente e contenere almeno:
1) Sulla valutazione del rischio ML/TF:
a) Una dichiarazione esplicita sull’esistenza o meno della valutazione del rischio ML/TF a livello aziendale;
b) Una sintesi dei principali risultati della valutazione del rischio per l’anno di riferimento;
c) Una descrizione del metodo utilizzato nel valutare il profilo di rischio del singolo cliente o del rapporto evidenziando in che misura è allineato al rischio ML/TF dell’ente emerso dall’autovalutazione;
d) La ripartizione dei clienti per categoria di rischio, flussi di onboarding, numero di revisioni dei clienti obsolete per categoria di rischio;
e) Una panoramica strutturata del lavoro svolto dal compliance officer AML/CFT nell’ultimo anno, comprese le informazioni e i dati statistici su:
- la natura, il numero e l’importo delle operazioni inusuali rilevate e analizzate;
- la natura, il numero e l’importo delle segnalazioni di operazioni sospette alla FIU (distinta per paese);
- informazioni aggregate sui rapporti con i clienti estinti su iniziativa dell’ente per impossibilità ad adempiere agli obblighi di adeguata verifica o in caso di sospetto AML/CFT;
- numero di richieste di informazioni ricevute dalla UIF;
- numero di richieste/citazioni giudiziarie ricevute;
- numero di ordini che richiedono il rinvio dell’esecuzione di una transazione;
- numero di risposte fornite alla FIU e decisioni prese in merito a questi clienti e se i rapporti d’affari sono stati bloccati, sospesi, estinti;
- sintesi dei dati statistici o dei principali indicatori di rischio per fornire un quadro dei rischi di ML/TF a cui l’operatore è esposto per effetto della tipologia di clienti, paesi o aree geografiche, prodotti, servizi, transazioni o canali di distribuzione, tenendo conto degli orientamenti dell’EBA sui fattori di rischio ML/TF
f) Una visione prospettica dei rischi ML/TF e del quadro AML/CFT del settore a cui l’operatore appartiene e le misure per fronteggiare tali rischi;
2) Sulle risorse:
g) Una breve descrizione della struttura organizzativa AML/CFT e di eventuali modifiche apportate nell’ultimo anno e le motivazioni sottostanti, distinguendo tra la rete commerciale e la funzione di compliance AML/CFT;
h) Una breve descrizione delle risorse umane e tecniche assegnate alla struttura della Funzione di Compliance AML/CFT e la conferma che sono sufficienti o, in caso contrario, una valutazione delle ulteriori risorse ritenute necessarie per consentire all’operatore di adempiere ai propri obblighi AML/CFT;
i) l’elenco dei processi AML/CFT esternalizzati con una descrizione del vigilanza esercitata dall’operatore finanziario su tali attività e la conferma che gli accordi di esternalizzazione sono adeguati a garantire la continuità e la conformità ai requisiti normativi AML/CFT e alle regole interne dell’operatore finanziario;
3) Sulle politiche e procedure:
j) Sintetiche informazioni su provvedimenti e procedure adottate nel corso dell’anno, compreso il follow-up delle raccomandazioni, delle carenze e irregolarità individuate nonché delle misure correttive proposte;
k) La natura e il numero delle azioni di monitoraggio della conformità intraprese per valutare l’applicazione delle politiche, dei controlli e delle procedure AML/CFT da parte dei dipendenti, agenti, distributori e fornitori di servizi nonché sull’adeguatezza degli strumenti utilizzati;
l) La tipologia e il numero delle attività di formazione completate, pianificate, non completate, nonché il personale interessato da tali attività; piano di formazione per l’anno prossimo e sistemi per valutare l’adeguatezza della formazione:
- numero di ore di formazione per tipologia di dipendenti, di dipartimento/funzione e percentuale di dipendenti che hanno completato il percorso formativo;
- data di partecipazione ad un seminario, titolo, durata e modalità di distribuzione (e-learning, online e in presenza) e i nomi dei formatori;
- se la lezione/seminario è stata preparata all’interno dell’ente o offerta da un’organizzazione esterna o da consulenti;
- informazioni di sintesi per il programma/contenuto delle lezioni/seminari.
m) una descrizione di eventuali altre misure adottate dal compliance officer AML/CFT;
n) qualsiasi informazione sul funzionamento della Funzione di compliance officer AML/CFT e le misure che il responsabile ritiene necessario applicare per prevenire i rischi ML/TF sottoponendole all’attenzione dell’organo di gestione;
o) piano delle attività e dei controlli della funzione di compliance officer AML/CFT per l’anno successivo;
p) controlli e attività di vigilanza, comprese le comunicazioni dell’autorità competente, le segnalazioni effettuate, le violazioni individuate e le sanzioni imposte unitamente alle modalità con cui l’ente si impegna a porre rimedio alle violazioni, le azioni correttive, i follow-up e ogni altra relazione periodica.
f) Segnalazione di operazioni sospette
Il responsabile della conformità AML/CFT, in relazione all’obbligo di segnalazione delle operazioni sospette, deve assicurarsi che il personale addetto abbia le competenze, le conoscenze e l’idoneità per assisterlo in tale compito, tenendo conto degli obblighi di riservatezza cui deve attenersi l’ente e i suoi operatori. Le segnalazioni di operazioni sospette devono essere trasmesse alle FIU secondo le linee guida emanate dalla stessa e in modo efficace. Nell’ambito del suo ruolo il responsabile della conformità AML/CFT deve:
a) comprendere il funzionamento del sistema di monitoraggio delle transazioni e le procedure per gestire gli alert in base ai rischi ML/TF dell’ente;
b) ricevere segnalazioni da dipendenti, agenti o distributori o i rapporti generati dai sistemi di allerta qualora si rilevi un sospetto o un collegamento al ML/TF;
c) assicurare che tali segnalazioni siano esaminate tempestivamente per confermare o meno il sospetto di ML/TF e documentare e attuare un processo di priorità delle segnalazioni interne ricevute in modo che quelle riguardanti situazioni particolarmente ad alto rischio siano trattate con la necessaria urgenza;
d) nel valutare le segnalazioni ricevute, registrare tutte le valutazioni effettuate nonché qualsiasi feedback ricevuto dalla FIU successivamente al fine di migliorare il rilevamento di future transazioni sospette;
e) garantire che la conoscenza o il sospetto di ML/TF o il collegamento di una persona con ML/TF siano segnalati quanto prima alla FIU, allegando la relazione di tali eventi e le informazioni e la documentazione necessaria per corroborare il sospetto o i motivi ragionevoli per sospettare ML/TF;
f) assicurare un tempestivo ed esauriente riscontro ad ogni richiesta di informazioni formulata dalla UIF;
g) considerare regolarmente i motivi per cui le segnalazioni di attività o transazioni insolite non sono state rilevate da rapporti interni verificando eventuali problematiche da affrontare per garantire un processo efficace di segnalazione.
h) applicare efficacemente le linee guida fornite dalle FIU in merito alle tipologie di casistiche di ML/TF e agli indicatori di rischio ML/TF.
Gli enti devono richiamare i dirigenti e dipendenti sull’obbligo di rispettare rigorosamente il divieto di informare il cliente o i terzi che è in corso o potrebbe essere avviata un’indagine ML/TF e limitare l’accesso a queste informazioni alle persone che svolgono tali attività. Il responsabile della conformità AML/CFT deve considerare attentamente chi è a conoscenza delle informazioni su eventuali segnalazioni presentate alla FIU o qualsiasi richiesta di informazioni ricevuta dalla FIU all’interno dell’ente. La procedura di segnalazione deve essere riservata e l’identità delle persone coinvolte nella preparazione e nell’inoltro del rapporto devono essere protetti dalla politica sulla privacy.
g) Formazione e consapevolezza
Il responsabile della conformità AML/CFT deve informare il personale in merito ai rischi ML/TF cui è esposto l’ente tenendo conto del più ampio contesto nazionale e internazionale e sui motivi per cui è necessario ridurre i rischi. La formazione dovrebbe essere progettata in varie forme, attraverso policy o incontri al fine di fornire aggiornamenti sui rischi, i metodi, le tendenze e le casistiche di ML/TF, nonché l’approccio basato sul rischio per ridurre e gestire tali rischi. Deve promuovere l’adozione del codice etico e garantire che le procedure interne di segnalazione siano portate a conoscenza di tutto il personale, compresi i membri dell’organo di gestione, eventuali dipendenti interinali o distaccati nonché funzionari e dipendenti dei fornitori di servizi a cui l’operatore ha esternalizzato uno o più funzioni. Deve inoltre garantire che sia fornita una formazione adeguata, teorica e pratica affinché il personale nelle diverse funzioni aziendali sia effettivamente in grado di attuare le misure AML/CFT contenute nelle policy, sovrintendere alla preparazione e all’attuazione di un programma di formazione AML/CFT che coinvolga tutto il personale nonché gli agenti o distributori, il personale neoassunto e su base continuativa. Prepara e attua, in collaborazione con il dipartimento delle risorse umane, un piano annuale di formazione che deve essere documentato per iscritto e riportato nel rapporto di attività all’organo di gestione. La formazione specifica è necessaria in base ai rischi ML/TF:
a) lo staff della funzione di compliance sotto la responsabilità del Responsabile della conformità AML/CFT deve ricevere un formazione approfondita che copra tutti gli aspetti AML/CFT, consentendo all’ente di adempiere a tutti i suoi obblighi;
b) la formazione del persone in contatto con i clienti (dipendenti, agenti e distributori) deve consentire di rilevare efficacemente le operazioni inusuali e di allertare tempestivamente il responsabile della conformità AML/CFT secondo le procedure interne;
c) il programma di formazione delle persone incaricate di sviluppare software o altri strumenti che sono, anche indirettamente, sensibili al rischio ML/TF, deve includere seminari che tengano conto dei compiti svolti.
I dipendenti devono essere:
a) resi consapevoli dei rischi di ML/TF, della normativa e dei relativi obblighi con un focus su quelli a cui l’operatore e il gruppo sono più esposti;
b) resi consapevoli dell’identità e delle responsabilità del membro dell’organo di gestione o dirigente responsabile della conformità AML/CFT;
c) formati sulle procedure dell’ente e su come riconoscere e trattare potenziali transazioni o attività di ML/TF;
d) avere indicazioni e informazioni su indicatori di attività anomale, tendenze e casistiche di ML/TF e come possano essere abusati i servizi e i prodotti forniti dall’ente;
Il responsabile della conformità AML/CFT deve determinare indicatori di valutazione per verificare l’efficacia dei corsi di formazione erogati.
Qualora l’ente adotti un programma di formazione sviluppato all’estero, il Responsabile della conformità AML/CFT deve garantire che il programma sia adattato alle norme legali e regolamentari applicabili a livello nazionale, nonché rispetto alle tipologie di ML/TF e alle attività specifiche dell’ente. Laddove determinate attività di formazione siano affidate a terzi, il Responsabile della conformità AML/CFT deve garantire e documentare all’interno del rapporto di attività:
(i) che il subappaltatore ha le conoscenze AML/CFT necessarie per garantire la qualità della formazione da fornire,
(ii) che le condizioni di gestione dell’esternalizzazione siano fissate e rispettate,
(iii) che il il contenuto di questa formazione sia adattato alle caratteristiche specifiche dell’operatore e ai suoi rischi ML/TF.
Sono inoltre dettate disposizioni che riguardano la relazione tra la funzione di conformità AML/CFT e le altre funzioni di controllo, l’esternalizzazione delle funzioni operative del compliance officer AML/CFT e l’organizzazione della funzione di compliance AML/CFT a livello di gruppo.
Nell’ambito dell’approccio basato sul rischio in linea con gli orientamenti dell’EBA l’autorità competente deve indagare sulle misure adottate dall’ente per garantire che il responsabile della conformità AML/CFT abbia i requisiti di integrità, competenza e conoscenza del framework AML/CFT verificando le competenze professionali dello stesso e i precedenti incarichi ricoperti, i settori, gli operatori finanziari e l’autorità competente del paese di origine di tali operatori condividendo l’esito della valutazione dell’idoneità effettuata dall’ente. Se l’autorità competente ritiene che la persona che agisce in qualità di responsabile della conformità AML/CFT non sia idoneo deve informare l’operatore e prendere le misure necessarie senza ritardo, che vanno dal richiedere ulteriore formazione o la sostituzione attraverso una riorganizzazione interna. L’autorità competente dovrebbe informare l’autorità di vigilanza prudenziale laddove questo individuo ricopra un ruolo chiave.
Rivista di Diritto Bancario Tidona - www.tidona.com - Il contenuto di questo documento potrebbe non essere aggiornato o comunque non applicabile al Suo specifico caso. Si raccomanda di consultare un avvocato esperto prima di assumere qualsiasi decisione in merito a concrete fattispecie.
Le informazioni contenute in questo sito web e nella rivista "Magistra Banca e Finanza" sono fornite solo a scopo informativo e non possno essere ritenute sostitutive di una consulenza legale. Nessun destinatario del contenuto di questo sito, cliente o visitatore, dovrebbe agire o astenersi dall'agire sulla base di qualsiasi contenuto incluso in questo sito senza richiedere una appropriata consulenza legale professionale, da un avvocato autorizzato, con studio dei fatti e delle circostanze del proprio specifico caso legale.