1. Premessa
Il 19 maggio 2019 è entrato in vigore il nuovo Regolamento IVASS n. 44 del 12 febbraio 2019 (di seguito, il “Regolamento”) recante disposizioni attuative volte a prevenire l’utilizzo delle imprese di assicurazione e degli intermediari assicurativi a fini di riciclaggio e di finanziamento del terrorismo in materia di organizzazione, procedure e controlli interni e di adeguata verifica della clientela.
Il Regolamento, adottato in attuazione del novellato art. 7, comma 1 lett. a) d.lgs 21 novembre 2007, n. 231 (il “Decreto antiriciclaggio”, o “Decreto”), che ha recepito la Direttiva 2015/849/UE, sostituisce i precedenti Regolamenti ISVAP n. 41/2012 e IVASS n. 5/2014, accorpando così in un unico testo normativo le disposizioni in materia di organizzazione e controlli interni e quelle in materia di adeguata verifica della clientela.
Di seguito verranno illustrate le principali novità recate dal Regolamento.
2. Organizzazione, procedure e controlli interni
Coerentemente con il Decreto, il Regolamento amplia il raggio di applicazione della disciplina anche alle imprese e agli intermediari aventi sede legale in un altro Paese SEE “stabiliti senza succursale sul territorio della Repubblica Italiana”.
La Sezione sui “Principi generali” risulta notevolmente ampliata rispetto alla sua precedente formulazione. Vengono definiti gli obiettivi specifici di corporate governance e del sistema di controllo interno, oltre ai flussi informativi obbligatori per presidiare il rischio di riciclaggio. Le nuove disposizioni sono coerenti con i due pilastri del Regolamento, ovvero il principio di proporzionalità e l’approccio fondato sul rischio, che impone l’adeguamento di tutte le misure antiriciclaggio al grado ed alla complessità del rischio prospettato in concreto.
Il sistema di governo societario deve essere adeguato e proporzionato alla “natura” alla “portata” ed alla “complessità del rischio” di riciclaggio, così come il sistema di controllo interno è necessariamente improntato alla “mitigazione” ed alla “gestione del rischio”. Alle imprese viene altresì richiesto di diffondere una cultura aziendale che tale rischio presidi, insieme all’implementazione, allo stesso scopo, di flussi informativi e canali di comunicazione adeguati.
Obblighi paralleli sono previsti per le imprese aventi sede legale in un altro Stato membro UE o in un diverso Paese SEE ed operanti tramite succursale in Italia, ai quali viene imposta la conservazione presso tale sede secondaria di documentazione comprovante l’adeguatezza della propria struttura organizzativa anche a fronte dei rischi cui essa è esposta.
Anche i compiti degli organi sociali vengono ampliati e ridefiniti. In particolare, in capo all’organo amministrativo grava l’obbligo di predisporre ed approvare, coerentemente con gli indirizzi strategici da esso definiti in materia antiriciclaggio, una politica aziendale indicante le scelte in materia di assetti organizzativi, procedure e controlli interni, di conservazione dei dati, di adeguata verifica, di requisiti del titolare della funzione antiriciclaggio, “per assicurare coerenza con l’effettiva esposizione al rischio di riciclaggio”.
Dal canto suo, l’Alta Direzione si occupa dell’attuazione degli indirizzi strategici e della politica di gestione del rischio di riciclaggio, delineando le scelte concrete da effettuarsi nei diversi ambiti della politica aziendale in apposito documento analitico. Anche tale documento attuativo deve essere, in linea con la novità dell’approccio basato sul rischio, coerente con l’effettiva esposizione al rischio di riciclaggio.
Quanto alla funzione antiriciclaggio, l’IVASS ha specificato che essa deve intrattenere un’interlocuzione diretta con gli organi amministrativo e di controllo, ai quali risponde dei propri compiti. Essa contribuisce, oltretutto, alla predisposizione dei flussi informativi diretti agli organi aziendali ed all’adozione della politica aziendale in materia di assetti organizzativi, procedure e controlli interni, conservazione dei dati e adeguata verifica.
Il titolare (ex responsabile) della funzione antiriciclaggio deve oggi soddisfare i requisiti di onorabilità, professionalità ed indipendenza fissati nella politica aziendale predisposta dall’organo amministrativo, anche quando la funzione viene affidata agli organi responsabili della compliance e del risk management.
3. Obblighi di adeguata verifica
Anche gli obblighi di adeguata verifica vengono ampliati, sebbene sempre adattati sulla base dell’approccio basato sul rischio. In particolare, ai fini della valutazione del rischio di riciclaggio inerente ad un cliente, il Regolamento prevede come fattore innovativo ed aggiuntivo la considerazione altresì del titolare effettivo del cliente, del beneficiario e dell’eventuale titolare effettivo del beneficiario, nonché, ove rilevi, dell’esecutore.
Con riferimento al cliente, la normativa ha hanno incluso l’acquisizione di copia del documento d’identità tra gli obblighi da assolvere nella fase di identificazione. Conseguentemente la regolamentazione di livello secondario ha specificato gli adempimenti da svolgere per la successiva verifica dei dati identificativi. Per quanto riguarda il beneficiario, all’atto della designazione è richiesta unicamente l’acquisizione dei dati identificativi forniti dal cliente, che devono consentire l’univoca individuazione della persona fisica o del soggetto designato, mentre l’acquisizione del documento di identificazione e la relativa verifica dell’identità possono essere rinviati sino al momento del pagamento o dell’applicazione di misure rafforzate di adeguata verifica sul contraente.
Coerentemente con quanto già previsto in altri Paesi europei, il Regolamento descrive una nuova procedura per l’acquisizione di informazioni e dati riguardanti clienti e beneficiari che intrattengano con l’impresa o l’intermediario un rapporto a distanza, ossia attraverso sistemi di comunicazione telefonica o informatica. Poiché in tali casi l’attendibilità delle informazioni è maggiormente a rischio, sono previste specifica modalità per la relativa verifica.
In applicazione del rinnovato Decreto, il Regolamento detta, inoltre, una disciplina innovativa in tema di applicazione delle misure semplificate di adeguata verifica, le quali si applicano non già a fattispecie qualificate come a basso rischio per legge, ma a fattispecie la cui valutazione deve essere effettuata caso per caso dall’impresa, sulla base di specifici parametri. Le specifiche misure semplificate, caratterizzate da una riduzione dell’estensione o della frequenza degli adempimenti, devono essere declinate a cura dell’impresa nel documento attuativo della politica antiriciclaggio.
Notevolmente approfondite rispetto alla previgente disciplina risultano anche le disposizioni in materia di fattori di rischio da valutare per l’individuazione dei soggetti a cui applicare le misure rafforzate di adeguata verifica. Tali fattori vengono distinti a seconda che riguardino il cliente, il beneficiario e rispettivi titolari effettivi, i rapporti continuativi e le operazioni e l’area geografica di riferimento. Anche in tal caso, le imprese stabiliscono nel documento attuativo della politica antiriciclaggio l’importanza da attribuire ai singoli fattori di rischio e indicano le misure di rafforzata verifica da assumere in relazione alle diverse tipologie di clienti o prodotti a rischio elevato.
4. Intermediari Assicurativi
L’applicazione delle disposizioni in materia di antiriciclaggio agli intermediari assicurativi deriva dal fatto che la normativa primaria ha incluso tali soggetti nella definizione di “intermediari bancari e finanziari”. Tale inclusione determina in primo luogo la necessità per gli intermediari di dotarsi di procedure atte a soddisfare l’adempimento dei doveri imposti dalla disciplina primaria e regolamentare in materia di antiriciclaggio. A tale riguardo, si rileva in primo luogo la necessità di disciplinare gli obblighi di conservazione di documenti, dati e informazioni in capo agli intermediari assicurativi che, in precedenza, potevano essere soddisfatti mediante trasmissione alle compagnie assicurative. Qualora l’intermediario assicurativo non volesse assolvere in proprio tale obbligo, potrà ancora affidarsi alla compagnia di riferimento nel rispetto della disciplina in materia di esternalizzazione. In particolare, nel rispetto del principio di proporzionalità, il Regolamento individua i requisiti che gli intermediari assicurativi devono rispettare nell’esternalizzare l’attività di conservazione di documenti, dati e informazioni a terzi, incluse le stesse imprese di riferimento. Sotto diverso profilo, il Regolamento prevede l’obbligo per le imprese e le imprese stabilite senza succursale di assumere il ruolo di outsourcer, quando ciò venga richiesto dall’intermediario assicurativo. Per quanto attiene agli intermediari che operano per conto di imprese aventi sede legale in un Paese SEE e che operano in Italia in regime di libera prestazione di servizi, il Regolamento prevede espressamente che anche tali imprese possano assolvere agli obblighi di conservazione previa sottoscrizione di un apposito accordo di esternalizzazione conforme ai medesimi requisiti posti a carico delle imprese stabilite.
Stefano Giavari
Avvocato