L’approccio basato sul rischio nella disciplina antiriciclaggio
Uno degli elementi caratterizzanti della vigente disciplina antiriciclaggio è senza dubbio l’approccio risk based relativamente all’implementazione dei diversi presidi imposti dal d.lgs. 231/07, tutti ispirati a criteri di proporzionalità e flessibilità. Il rischio in questi casi identifica la probabilità che possa verificarsi una non conformità nel rispetto delle prescrizioni antiriciclaggio. I fattori di rischio dovranno quindi essere identificati analizzati e gestiti attraverso modelli organizzativi e di gestione finalizzati a ridurre l’eventualità che non vengano identificati, intercettati e documentati comportamenti anomali dei clienti rilevanti ai fini di una possibile segnalazione alle Autorità di vigilanza dell’operazione sospetta, compiuta o da compiere.
L’art. 15, 2° comma, evidenzia, al riguardo, che: “..I soggetti obbligati, adottano procedure oggettive e coerenti rispetto ai criteri e alle metodologie di cui al comma 1, per l’analisi e la valutazione dei rischi di riciclaggio e di finanziamento del terrorismo..”. Il 1° comma precisa, altresì, che: “..Le autorità di vigilanza di settore e gli organismi di autoregolamentazione dettano criteri e metodologie, commisurati alla natura dell’attività svolta e alle dimensioni dei soggetti obbligati, per l’analisi e la valutazione dei rischi di riciclaggio e di finanziamento del terrorismo, cui sono esposti nell’esercizio della loro attività..”.
Analisi di rischi e azioni di mitigazione del rischio
Dette disposizioni trovano il loro completamento nel successivo art. 16 che sottolinea come la naturale prosecuzione dell’analisi dei rischi sia rappresentata dalla fase di mitigazione dei rischi. Al primo comma, infatti, viene precisato che “…I soggetti obbligati adottano i presidi e attuano i controlli e le procedure, adeguati alla propria natura e dimensione, necessari a mitigare e gestire i rischi di riciclaggio e di finanziamento del terrorismo, individuati ai sensi degli articoli 14 e 15…”, mentre al 3° comma si aggiunge che”.. I soggetti obbligati adottano misure proporzionate ai propri rischi, alla propria natura e alle proprie dimensioni, idonee a rendere note al proprio personale gli obblighi cui sono tenuti…A tal fine, i soggetti obbligati garantiscono lo svolgimento di programmi permanenti di formazione…”. La formazione, pertanto, viene ricompresa espressamente tra le misure di mitigazione del rischio in quanto finalizzata “…alla corretta applicazione delle disposizioni di cui al presente decreto, al riconoscimento di operazioni connesse al riciclaggio o al finanziamento del terrorismo e all’adozione dei comportamenti e delle procedure da adottare…”.
La conservazione della documentazione antiriciclaggio
Le richiamate attività in ogni caso dovranno essere documentate e conservate. Infatti, il 4° comma dell’articolo 15 precisa che “..La valutazione di cui al comma 2 è documentata, periodicamente aggiornata e messa a disposizione di varie autorità (nb. Ministero dell’Economia e delle Finanze, Autorità di vigilanza di settore, Unità di informazione finanziaria per l’Italia, Direzione investigativa antimafia, Guardia di finanza che opera…attraverso il Nucleo Speciale Polizia Valutaria senza alcuna restrizione) e degli organismi di autoregolamentazione, ai fini dell’esercizio delle rispettive funzioni e dei rispettivi poteri in materia di prevenzione del riciclaggio e di finanziamento del terrorismo…”. Questa esigenza di conservazione viene ribadita anche nell’art.31, 1° comma, in cui viene sottolineato che “..I soggetti obbligati conservano i documenti, i dati e le informazioni utili a prevenire, individuare o accertare eventuali attività di riciclaggio o di finanziamento del terrorismo e a consentire lo svolgimento delle analisi effettuate, nell’ambito delle rispettive attribuzioni, dalla UIF o da altra Autorità competente…”.
Tutti gli atti e i documenti concernenti la valutazione e la mitigazione del rischio (e quindi anche quelli relativi alla formazione) dovranno essere conservati in apposito fascicolo da mettere a disposizione degli organi ispettivi in sede di controllo.
Una carente o insufficiente attività formativa costituirà certamente un importante fattore di criticità nell’azione di “messa in conformità” dell’organizzazione e inevitabilmente rappresenterà un elemento di valutazione da parte delle Autorità di controllo che in sede ispettiva.
Valutazione della formazione in sede ispettiva
La formazione costituirà oggetto di particolare attenzione e valutazione in occasione di eventuali controlli antiriciclaggio realizzati dalla Guardia di Finanza o da altri Organismi di vigilanza. Nella sua Circolare n. 83607/2012. Per i professionisti ad esempio è previsto un specifico Modulo Operativo (n. 6) – in cui il Comando Generale – III Reparto Operazioni –, nel richiamare i riferimenti normativi al ruolo della formazione in tema antiriciclaggio, precisa che “..un riscontro potrà essere effettuato anche relativamente al rispetto degli obblighi di formazione del personale (cfr. scheda normativa – paragrafo 3.k., pag. 23)….verificando se il professionista adotta misure di formazione del personale e dei collaboratori e più in particolare se sono stati erogati corsi con carattere di continuità e sistematicità, ovvero se sono stati previsti programmi o moduli formativi attraverso brochure, documenti e simili in linea con l’evoluzione normativa..”.
Una carente o omessa attività formativa in generale non prevede direttamente una sanzione amministrativa pecuniaria (analoga a quella di cui all’art. 62, comma 1, del d.lgs. 231/2007 e applicabile sono per alcuni operatori finanziari) tuttavia, ai sensi dell’art. 67, 1° comma, può costituire circostanza rilevante in sede di applicazione delle sanzioni amministrative pecuniarie e di sanzioni accessorie. In tale sede il MEF e le Autorità di Settore dovranno tener contro, in senso aggravante o attenuante (2° comma), di vari fattori tra cui “…g) dell’adozione di adeguate procedure di valutazione e mitigazione del rischio di riciclaggio e di finanziamento del terrorismo, commisurate alla natura dell’attività svolta e alle dimensioni dei soggetti obbligati..”.
L’assenza, l’inadeguatezza e la carenza di strutturate procedure in tema di formazione potrebbe quindi indurre a ritenere che il soggetto obbligato non abbia adottato misure organizzative adeguate, considerando che la formazione è una delle più importanti misure organizzative necessarie per mitigare il rischio.
I professionisti: conseguenze per omessa o carente formazione antiriciclaggio
Un’inadeguata o carente attività di formazione potrebbe dare adito, per i professionisti, anche a sanzioni disciplinari da parte degli Organismi di Autoregolamentazione che, ai sensi dell’art. 11 del d.lgs. 231/2007:
– “..anche attraverso le proprie articolazioni territoriali, garantiscono l’adozione di misure idonee a sanzionarne l’inosservanza…” (NB. di procedure e metodologie di analisi dei rischi di riciclaggio),
– ed inoltre, “..gli organismi di autoregolamentazione, attraverso propri organi all’uopo predisposti, applicano sanzioni disciplinari a fronte di violazioni gravi, ripetute o sistematiche ovvero plurime degli obblighi cui i propri iscritti sono assoggettati..”.
L’art. 66, 1° comma, evidenzia a tale riguardo che “…in caso di violazioni gravi, ripetute o sistematiche ovvero plurime delle disposizioni di cui al presente decreto, il Ministero dell’economia e delle finanze informa le competenti amministrazioni interessate e gli organismi di autoregolamentazione, ai fini dell’adozione, ai sensi degli articoli 9 e 11, di ogni atto idoneo ad intimare ai responsabili di porre termine alle violazioni e di astenersi dal ripeterle. Le medesime violazioni costituiscono presupposto per l’applicazione delle sanzioni disciplinari, ai sensi e per gli effetti dei rispettivi ordinamenti di settore. In tali ipotesi l’interdizione dallo svolgimento della funzione, dell’attività o dell’incarico non può essere inferiore a due mesi e superiore a cinque anni..”.
Antiriciclaggio: conseguenze per omessa o carente formazione anche ai fini privacy
La carente o omessa implementazione di una policy relativamente alla formazione da parte di un soggetto obbligato ai fini antiriciclaggio può considerarsi limitata solo agli aspetti della richiamata normativa?
Certamente no.
Come abbiamo evidenziato in un contributo del 3 ottobre 2021, gli aspetti antiriciclaggio e di tutela dei dati personali sono strettamente interconnessi per i numerosi espressi richiami che il D.lgs. 231/07 contiene in tema di protezione dei dati personali. L’assenza di una formazione integrata rende pertanto altamente probabili che condotte non conformi ai fini antiriciclaggio rilevino anche ai fini del Regolamento UE 679/2016 (GDPR). Facciamo qualche esempio che, a titolo meramente esemplificativo, ci possa far comprendere come le due normative richiedano compliance program interconnessi.
Un trattamento di dati personali acquisiti ai fini antiriciclaggio:
- potrebbe essere realizzato non osservando le prescrizioni in tema di data retention (conservazione ex art. 5 del GDPR),
- potrebbe essere oggetto di data breach per carenze nelle misure di sicurezza (art. 32 del GDPR),
- potrebbe essere realizzato non rispettando gli obblighi di privacy by design o by default (art. 25 GDPR)
- potrebbe essere esternalizzato a fornitori (responsabili del trattamento) non osservando le condizioni e le prescrizioni dell’art. 28 del GDPR,
- potrebbe essere realizzato da soggetti non formalmente nominati né… appositamente istruiti ai sensi dell’art. 29 del GDPR.
Quindi, in buona sostanza, una violazione ai fini della conservazione dei dati ai fini antiriciclaggio (art. 31 del D.Lgs 231/07) potrebbe costituire anche violazione ai fini del GDPR. Analogamente una violazione degli obblighi di riservatezza (ex (art. 48 del D.Lgs 231/07) potrebbe configurare un data breach (art. 33 del GDPR) causato da carenti misure di sicurezza (ex art. 32 del GDPR).
In sede di ispezione antiriciclaggio i militari della Guardia di Finanza che rilevino violazioni (ad es. in tema di segnalazioni di operazioni sospette, in tema di conservazione, in tema di adeguata verifica) potrebbero costatare come dette violazioni siano state causate, direttamente o indirettamente, da carenti presidi organizzativi o da inadeguate misure organizzative privacy.
A questo punto l’organo ispettivo dovrà rilevare tutte le non conformità e, con riguardo a quelle rilevanti ai fini del GDPR, dovrà segnalare i fatti al Gruppo Privacy (ricompreso nel Nucleo Speciale Frodi Tecnologiche) della Guardia di Finanza. Quest’ultimo, a sua volta, riferirà le varie circostanze al Garante per la protezione dei dati personali per gli eventuali ulteriori accertamenti e per le valutazioni sanzionatorie di competenza.
Conclusioni
La formazione piuttosto che un costo costituisce un’opportunità e non solo per adempiere correttamente agli obblighi imposti da diverse normative di settore, privacy e antiriciclaggio, ma soprattutto perché consente di migliorare i servizi resi e di ottimizzare l’impiego delle risorse a disposizione.
La formazione, in un settore delicato come quello del sistema di prevenzione antiriciclaggio, deve essere continua e sistematica con rigorosi piani annuali, evitando di affidarsi all’improvvisazione.
Dott. Gaetano Mastropierro
Consulente compliance integrata (privacy, antiriciclaggio, responsabilità amministrativa degli enti), DPO.
Dott. Alfredo Sanfelice
Consulente compliance integrata (privacy, antiriciclaggio, responsabilità amministrativa degli enti), DPO.
