antiriciclaggio

di

D.Lgs. 21 novembre 2007, n. 231 e il Regolamento IVASS n. 5 del 21 Luglio 2014 altro non sono che la chimera delle norme che servirebbero contro il rischio di riciclaggio e di finanziamento del terrorismo. Una scelta che complica il lavoro invece che migliorarlo. La soluzione ideale? il Progetto NSA.

Il D.Lgs n. 231 del 21 novembre 2007 ha recepito le direttive 2005/60/CE e la direttiva 2006/70/CE concernenti la prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo e il Regolamento IVASS n. 5 del 21 Luglio 2014 ha di fatto attuato le indicazioni del D.Lgs 231 nel settore assicurativo.

Ma qual è il paradosso di queste normative? E cosa rende tutte queste normative una futile chimera per risolvere drasticamente i problemi contro il rischio di riciclaggio e di finanziamento del terrorismo?

La risposta parte da tre considerazioni fondamentali.

Prima considerazione: da cosa dipende l’incapacità a intercettare in modo adeguato il riciclaggio di proventi di attività criminose e di finanziamento del terrorismo?

L’incapacità a intercettare il riciclaggio di proventi di attività criminose e di finanziamento del terrorismo dipende da tre elementi:

  1. La mancanza di rilevazione di  informazioni adeguate a identificare il profilo del cliente, la scelta di investimento o di acquisto effettuata e le motivazioni da cui deriva la decisione di investire e o di acquistare del soggetto
  2. La mancanza di rilevazioni di informazioni che rilevano il comportamento criminale del cliente e le relazioni tra il cliente e altri soggetti criminali
  3. La mancanza di interazione e di interconnessione tra le informazioni del cliente, le motivazioni da cui deriva la decisione di investire e le relazioni che il soggetto ha con altri clienti criminali

In realtà il sistema adottato in base alle normative di legge prevede per i oggetti che operano in ambito finanziario e assicurativo (Banche, Intermediari assicurativi,ecc.) e per le autorità competenti (Banca D’Italia, Consob, IVASS, DIA) due fasi distinte di acquisizione e di valutazione dei dati e dei rischi:

  • quella effettuata dalle Banche e dalle Compagnie di Assicurazione tramite le informazioni rilevate nell’archivio unico informatico per l’adeguata verifica della clientela (Archivio AUI) e tramite le eventuali segnalazioni per determinate informazioni dall’UIF (es. procedimenti penali non reperiti in altre fonti)
  • quella effettuata dall’Unità di informazione finanziaria per l’Italia (UIF) in base alle informazioni recepite dalle autorità di controllo (Banca D’Italia, Consob, IVASS, DIA) e dalle Banche e dalle Compagnie di Assicurazione e dalle forze di polizia,dal Ministero dell’economia e delle finanze, dal Ministero della giustizia ed dal Procuratore nazionale antimafia.

Ma se andiamo ad analizzare l’origine da cui derivano i suddetti dati individuiamo che in realtà i soggetti che hanno il compito di eseguire l’adeguata verifica hanno la possibilità di accedere solo a una parte delle informazioni utili per individuare il rischio di antiriciclaggio e di finanziamento al terrorismo. Questo significa che la quantità di rischi che sono in grado di intercettare è di gran lunga inferiore a quello che sarebbe possibile intercettare con un’analisi integrata e correlata di tutte le tipologie di informazioni necessarie per identificare i rischi.

In realtà le informazioni che rilevano maggiormente i rischi in questo ambito sono proprio le informazioni a cui questi soggetti ( Banche e Compagnie di Assicurazione) non possono accedere.

Otrigine dati antiriciclaggio

Questo fa si che l’intercettazione completa dei rischi avviene spesso solo dopo che le azioni criminali sono state commesse, in quanto i clienti di fatto possono già avere effettuato investimenti o acquisti e la gestione delle informazioni necessarie a intercettare realmente  i rischi in archivi  distinti tra i diversi organismi (è prevista solo un’integrazione parziale tra l’archivio AUI e UIF) richiede una rielaborazione da parte dell’UIF delle informazioni reperite dai diversi soggetti, e questo avviene spesso dopo che l’operazione è stata svolta dal cliente.

Questa anomalia porta a constatare che non ci sono strumenti che bloccano già in fase iniziale un intervento di riciclaggio e di finanziamento del terrorismo.

Seconda considerazione: la mancanza dell’intercettazione immediata perlomeno del 70% dei rischi avviene per un utilizzo inadeguato della tecnologia informatica disponibile nell’identificazione delle azioni criminali (siamo nel 2014 ma l’operatività messa in atto è come se fossimo nel 1900!!)

Quello che è letteralmente paradossale nelle azioni previste dalle attuali normative di legge (D.Lgs. 21 novembre 2007, n. 231 e il Regolamento IVASS n. 5 del 21 Luglio 2014) è che tutte le fasi di rilevazione delle informazioni previste per rilevare il rischio di riciclaggio e di finanziamento del terrorismo prevedono il recepimento e l’archiviazione delle informazioni in archivi separati con un’integrazione parziale tra gli stessi (es. rilevamento dall’AUI dei procedimenti penali dall’UIF) che hanno finalità diverse e che sono realizzati autonomamente da ogni soggetto.

Questa separazione, questo compartimento stagno per ogni servizio e la mancanza di integrazione collimata di tutte queste informazioni, fa si che in realtà viene esasperata la quantità di informazioni recepite dai soggetti  che svolgono l’attività di intermediazione e di vendita (Banche, Compagnie di Assicurazione e intermediari, ecc.) per cercare di limitare il rischio di azioni criminali non intercettabili. E cosi accade che se un soggetto sottoscrive una polizza con premi maggiori di 15.000 Euro in un’ Agenzia di Assicurazioni deve fornire tutte le informazioni e i documenti per l’adeguata verifica e se lo stesso soggetto deve svolgere nella stessa giornata un’operazione di investimento finanziario in una banca di un importo maggiore di 15.000 Euro, anche in quel caso deve ripresentare le stesse informazioni e la stessa documentazione.  E’ prevista una titolarità dei soggetti solo nei casi in cui il pagamento viene effettuato con un bonifico o con un mezzo di pagamento riconosciuto dalla normativa di legge. Ma in caso contrario cosa avviene? Niente, il soggetto deve eseguire l’adeguatezza due volte. Questo cosa vuole dire? Complicare il lavoro delle imprese e degli intermediari.

Ma la realtà è che i maggiori rischi di antiriciclaggio e di finanziamento al terrorismo possono essere intercettati soprattutto nell’ interrelazione tra comportamenti anomali dei soggetti, e questa attività con l’attuale struttura della procedura di intercettazione dei rischi avviene solo a posteriori dall’UIF e dagli altri organismi di controllo.

Ma come è possibile che nel 2014 con tutta l’innovazione tecnologica che è disponibile si abbia strutturato un sistema per l’intercettazione dei rischi di riciclaggio e di finanziamento del terrorismo con una modalità cosi antiquata che sembra rispecchiare quello che si faceva 100 anni fa? Questo porta solo a due  risultati negatici: troppo eccessivo lavoro assegnato a chi vende servizi e prodotti e minore efficienza ed efficacia nell’intercettare i rischi di riciclaggio e di finanziamento del terrorismo.

Terza considerazione: c’è un’eccessiva valutazione del rischio di  un rapporto continuativo con i clienti, mentre in realtà il rapporto continuativo si consolida in base alla affidabilità dei clienti e fornisce informazioni letteralmente all’opposto di quanto dichiarato

Nelle due normative di riferimento è emblematica l’ossessiva considerazione del rapporto continuativo con i clienti (Art. 7 comma a) Regolamento n. 5 IVASS  del 21 Luglio 2014) come uno dei fattori di rischio che obbligano l’applicazione dell’adeguata verifica della clientela per evitare  i rischi di riciclaggio e di finanziamento del terrorismo. Ma in realtà questa affermazione parte da una valutazione errata della valenza del rapporto continuativo con un cliente dalle imprese, in quanto se vengono applicate le tre norme di controllo dei rischi indicate nella prima considerazione ogni volta che un soggetto esegue un’operazione finanziaria, il rapporto continuativo di fatto altro non fa che consolidare l’affidabilità e la sicurezza personale del soggetto.

E allora come è possibile considerare il rapporto continuativo come un elemento aggiuntivo che aumenta i rischi? Solo se non vengono applicate le norme di controllo adeguate ad ogni operazione, e quindi i rischi non derivano da un rapporto continuativo, ma dalla mancanza di effettuazione dei controlli consigliati. In conclusione un rapporto continuativo se viene gestito secondo norme appropriate diventa di fatto un ulteriore elemento che aumenta l’accreditamento e l’affidabilità di un cliente e non il rischio di antiriciclaggio e di finanziamento al terrorismo.

Ma di fronte a una tale complessità, farraginosità e inefficienza nella valutazione di questi rischi qual è la soluzione ideale? Il Progetto NSA

La gestione dei rischi antiriciclaggio e di finanziamento al terrorismo è un attività complessa che richiede una revisione completa per poter diventare più semplice ed operativa per gli addetti all’intermediazione dei prodotti assicurativi e finanziari (es. Banche ,  Agenzie di Assicurazione, ecc.) secondo le norme di miglioramento delle normative del Governo Renzi e per essere più efficienti per i soggetti che devono di fatto raccogliere le informazioni per l’adeguatezza e gestirle (es. Banche, Compagnie di Assicurazione, ecc.).

Ma per risolvere definitivamente questi problemi cosa serve ? Il Progetto NSA.

Il Progetto NSA di fatto è in termini inglese la creazione di una National Security Authentication, ovvero in Italiano di un sistema unificato e centralizzato di Autenticazione della Sicurezza dei Clienti a  livello Nazionale, ovvero è un progetto che ha i seguenti requisiti:

  1. La matrice del progetto NSA: il Progetto NSA parte dalla considerazione che la soluzione di problematiche che non sono limitate all’attività delle imprese ma che hanno implicazioni, informazioni necessarie alla loro valutazione e gestione, e connessioni a livello nazionale (es.riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo) richiedono una progettazione di soluzioni non limitate alle singole imprese, ma su uno scenario multisettore e nazionale, in cui ogni soggetto coinvolto (es. imprese, organismi di controllo) svolge la propria funzione di fornitura delle informazioni necessarie per adempiere all’esigenza nazionale.
  2. Creazione della banca dati centralizzata unificata NSA: è la banca dati che viene alimentata dagli archivi AUI delle imprese ( Assicurazioni e Banche) e dall’archivio UIF della Banca D’Italia e dagli altri organismi di controllo (forze di polizia,dal Ministero dell’economia e delle finanze, dal Ministero della giustizia, Procuratore nazionale antimafia, ecc.) che comprende l’ elenco dei soggetti che svolgono operazioni finanziarie e assicurative in base alle norme antiriciclaggio, le informazioni identificative delle caratteristiche dei soggetti, la loro classificazione secondo norme unificate di affidabilità che comprendono la tipologia di operazioni eseguibili e l’ assegnazione ai soggetti di un codice di autenticazione a livello nazionale. La banca dati centralizzata unificata NSA comprende anche tutte le informazioni necessarie a identificare il comportamento criminale di ogni soggetto e la sua relazione con altri soggetti criminali, ovvero tutte le informazioni necessarie per gestire in modo corretto la problematica del controllo del riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo.
  3. Assegnazione ai soggetti del Codice NSA : ai soggetti che svolgono operazioni di investimento o di acquisto oltre ai 15.000 Euro o che vengono titolate dalla Banca D’Italia come soggetti a cui attribuire le regole di controllo del suddetto progetto, viene assegnato il Codice NSA (National Security Authentication), ovvero un codice che assegna ad ogni soggetto l’autenticazione e il livello di affidabilità (livello di rischio) a livello nazionale in base ai controlli sul riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo. Il codice NSA di ogni soggetto viene generato dalla banca dati centralizzata unificata NSA nel momento in cui recepisce le informazioni dagli archivi AUI delle imprese (Banche, Compagnie di Assicurazioni, ecc.) in base ai controlli incrociati e integrati che esegue online con le informazioni dell’ UIF e da ogni altra banca dati degli organismi di controllo (forze di polizia,dal Ministero dell’economia e delle finanze, dal Ministero della giustizia, Procuratore nazionale antimafia, ecc.).  Il Codice NSA è un codice di autenticazione digitale dei soggetti che viene inviato ad ogni impresa titolata ad accedere alla banca dati centralizzata unificata NSA. Ogni Codice NSA ha livelli di autenticazione differenti in base alle caratteristiche dei soggetti, alla tipologia di investimento o di acquisto e alle informazioni recepite dagli organismo di controllo.
  4. Il rapporto continuativo con le impresa aumenta l’affidabilità de soggetti attribuita nel Codice NSA: nel momento in cui un’impresa conferma e segnala  alla banca dati centralizzata unificata NSA che il soggetto con cui lei opera conferma i requisiti di affidabilità stabiliti in più operazioni nel tempo, l’affidabilità nel tempo dei soggetti genera una diminuzione del livello di rischio complessivo dei soggetti.
  5. Validità e utilizzo del Codice NSA: il Codice NSA generato dalla banca dati centralizzata unificata NSA ha un livello di validità di tre mesi e può essere condiviso con qualunque impresa (es. Banca o Compagnie di Assicurazioni)  che svolge un controllo per i soggetti delle norme contro il riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, solo nel caso in cui i requisiti i base con cui è stato generato non abbiamo avuto una modifica nel tempo successivo alla sua generazione (es. aumento o diminuzione del reddito per soggetto o ingiunzione di un procedimento penale).
  6. Applicazione del Codice NSA nei controlli delle imprese: nel momento in cui le condizioni di validità del Codice sono sono mutate, qualunque impresa può utilizzarlo per autenticare la validità e l’autenticazione dei soggetti, chiedendo semplicemente al soggetto la conferma sulla mancata modifica dei requisiti di autenticazione dalla data in cui il Codice NSA è stato attivato (es. un soggetto che ha investito in una Banca in un Fondo Comune ha un codice che ha lo stesso livello di validità anche per investimenti in Polizze Assicurative Unit Link con livelli di investimento allineati – es. fino a 100.000 Euro). In questo modo le imprese non hanno la necessità di recepire nuovamente tutte le informazioni per svolgere il controllo antiriciclaggio e contro il finanziamento del terrorismo, acquisendo direttamente il Codice NSA generato dalla banca dati centralizzata unificata NSA.  il Codice NSA non è applicabile nel momento in cui sono mutate le informazioni recepite per generare il Codice NSA, in questo caso a ogni soggetto vengono richieste nuovamente le informazioni per rigenerare un nuovo codice. Nel momento in cui un’impresa riutilizza il Codice NSA, di fatto provvederà solamente ad aggiornare in automatico la propria banca dati AUI e la banca dati centralizzata unificata NSA con le informazioni sull’operazione di investimento o acquisto del soggetto.
  7. Adozione di un livello di controlli incrociati più elevati sulla banca dati centralizzata unificata NSA dall’organismo di controllo UIF della Banca D’Italia : l’intercettazione adeguata dei rischi di riciclaggio e di finanziamento al terrorismo richiede soprattutto l’estensione dei controlli incrociati delle informazioni  indicate nella prima considerazione, ed è per questo che viene richiesto l’aumento delle risorse da impegnare per svolgere controlli accurati e interpolati su tutte le suddette informazioni. Presumere che l’attività di antiriciclaggio possa essere svolta prevalentemente dalle imprese solo con le informazioni che oggi rilevano è una pura illusione, se non vengono aumentati i livelli di controlli e di correlazione delle informazioni questi rischi verranno poco ridotti ed è per questo che se si intende affrontare seriamente questo problema, quella proposta è l’unica soluzione adeguata da adottare.
  8. Determinazione del livello di rischio e di autenticazione dei soggetti assegnata nella banca dati centralizzata unificata NSA :  le informazioni recepite da ogni impresa (Banca o Compagnie di Assicurazioni) hanno una funzione limitata alle operazioni di investimento o acquisto dei soggetti al loro interno e questo determina per definizione, che le informazioni attendibili e utilizzabili da loro assegnate sono unicamente quelle relative al tipo di investimento e di acquisto dei soggetti e alla loro profilazione di portafoglio complessiva. Per definizione quindi l’eventuale classificazioni del livello di rischio dei soggetti da parte delle imprese è un’informazioni da non considerare attendibile in quanto eccessivamente limitata. La determinazione del livello di rischio e di autenticazione dei soggetti verrà generata e assegnata nella banca dati centralizzata unificata NSA ad ogni Codice NSA, in base all’analisi completa, integrata e parametrata di tutte le informazioni recepite dagli archivi AUI, dall’ UIF e da ogni altra informazione comportamentale e statistica rilevata.

L’applicazione di queste norme per la prevenzione dei rischi di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, cambierebbe completamente sia  lo scenario del mercato:

  • limitando gli interventi a carico operativo delle imprese (Banche e Compagnie di Assicurazioni)
  • riducendo le attività assegnate agli intermediari per i controlli di adeguatezza per l’antiriciclaggio (es. Agenzie di Assicurazioni, Broker, Banche), per far si che abbiano più tempo per svolgere i controlli di adeguatezza specifici per proporre i prodotti migliori ad ogni cliente (attività che è specifica per ogni impresa e su cui si basa anche la concorrenza)
  • migliorando le possibilità di intercettare e prevenire i rischi di riciclaggio e di finanziamento del terrorismo
  • rendendo più efficienti e più semplici i processi gestiti da tutti gli organismi e le imprese coinvolti su queste attività.

In conclusione il mondo dell’economia e la stessa crescita dell’economia può incrementare se aumenta la coerenza a livello nazionale nelle modalità con cui vengono applicate le riforme alle normative di legge. Se applicare nuove norme di legge (anche proposte dalla CEE), non trova capacità creativa, innovatività, capacità di rendere più semplici ed efficaci le nuove norme, allora vuole dire che chi ha la responsabilità degli organismi di controllo ( Governo Renzi, Governatore Banca D’Italia, Presidente IVASS, ecc.) e degli amministratori delle imprese ( Banche, Compagnie di Assicurazione ) e anche degli organismi che dovrebbero proteggere i consumatori (associazioni dei consumatori) dovrebbero riflettere sul loro ruolo e su come devono cambiare se vogliono essere protagonisti e attori del futuro dell’Italia.

By Giovanni Roi