AML nuovo Provvedimento della Banca d’Italia. Lo scorso 1° agosto la Banca d’Italia ha pubblicato il nuovo Provvedimento in materia di “organizzazione, procedure e controlli interni per finalità antiriciclaggio”, che modifica il precedente, in vigore dal 26 marzo 2019. Con questo Provvedimento, la massima Autorità bancaria italiana interviene massivamente su una serie di norme contenute nel precedente, quali le Disposizioni preliminari, i Principi generali, sulle norme concernenti gli assetti organizzativi a salvaguardia dei rischi di riciclaggio, l’assetto dei presidi antiriciclaggio, sulle Disposizioni applicabili ai gruppi e la valutazione dei rischi di riciclaggio.
Requisiti e compiti della nuova figura dell’Esponente responsabile AML
Tra le più rilevanti innovazioni merita un approfondimento l’obbligo per gli Enti vigilati di nominare tra i componenti dell’Organo di Amministrazione un Esponente responsabile AML, entro e non oltre il 30 giugno 2026. L’introduzione di questo nuovo ruolo è parte di un processo più grande di rimodulazione dei presidi organizzativi minimi dei destinatari che Banca d’Italia vuole mettere in atto con questo provvedimento.
Competenze dell’incaricato
La delicatezza dell’incarico richiede dunque che esso venga affidato a soggetti altamente specializzati e competenti nel settore, che possano disporre di tempo e risorse per l’assolvimento del ruolo. Vi è tuttavia, in determinati casi, la possibilità che tale ruolo venga ricoperto dal Direttore generale, purché ne venga preservata la piena funzionalità. Il Provvedimento impone, inoltre, ai destinatari di dettagliare, nella policy antiriciclaggio, le ipotesi di conflitto di interessi e le misure atte a prevenirlo e mitigarlo, nonché i requisiti di nomina dell’Esponente e i criteri di determinazione del tempo e delle risorse necessarie.
Le molteplici funzioni della nuova figura
Tra i compiti assegnati alla nuova figura, si evidenziano: il monitoraggio dell’adeguatezza e della proporzionalità delle politiche, procedure e delle misure di controllo interno, la collaborazione con l’Organo avente funzione di supervisione strategica nelle valutazioni concernenti l’articolazione organizzativa e la dotazione di risorse della funzione antiriciclaggio.
Altre funzioni
L’Esponente avrà, inoltre, il compito di informare gli Organi aziendali rispetto alle violazioni e criticità concernenti l’antiriciclaggio, ma soprattutto rispetto alle attività svolte dalla funzione antiriciclaggio. Dovrà, infine, assicurare che le problematiche e le proposte di intervento rappresentate dal responsabile della funzione antiriciclaggio siano valutate dall’organo con funzione di gestione. Se ne deduce che l’Esponente Responsabile per l’antiriciclaggio potrà essere l’anello di congiunzione tra le varie funzioni dei soggetti obbligati.
Tale compito di Reporting ci conduce ad un’ulteriore ma non scontata riflessione circa il rapporto tra tale figura e l’OdV. Appare in questo senso evidente la similitudine tra la figura dell’Esponente responsabile AML e l’OdV, essendo entrambe le figure soggette a rilevanti obblighi di informativa verso gli Organi sociali.
Sarà sicuramente interessante comprendere come le due figure coesisteranno negli Enti vigilati, attesa l’interconnessione tra il Sistema di Compliance AML e il Sistema di Compliance 231.
Esponente responsabile AML e DPO
Dalla lettura del Provvedimento si deducono evidenti similitudini tra la neo-figura dell’Esponente responsabile AML e il DPO (Data Protection Officer). Il DPO è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 (GDPR), incaricata di valutare l’applicazione del Regolamento in azienda. Prima di approfondire alcuni punti di contatto tra i due ruoli, è necessario premettere che le due figure sono inserite in contesti differenti: da una parte l’Esponente responsabile AML opera esclusivamente all’interno di realtà vigilate dalla Banca d’Italia; mentre dall’altra, il DPO può operare in qualsiasi entità, privata o pubblica.
Nomina DPO
Sono solo tre le ipotesi in cui è obbligatoria:
a) quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico; b) quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali. Nei casi diversi da quelli sopra elencati la nomina del DPO non è obbligatoria ma raccomandata.
Il parallelismo tra le due figure, nel dettaglio
Soffermandoci sul parallelismo tra questa figura, tratta dal mondo della Privacy, e quella introdotta da Banca d’Italia con il Provvedimento in esame, si possono notare, come anticipato, alcune similitudini.
In primo luogo, occorre che ambo gli incarichi siano ricoperti da soggetti dotati, seppur nei rispettivi ambiti, di competenze e conoscenze settoriali ben definite. In secondo luogo, nell’esecuzione dei rispettivi compiti, sia l’Esponente responsabile AML che il DPO dovranno ricevere supporto adeguato in termini di risorse, sia finanziarie che di personale.
Altra importante similitudine è l’elevato livello di responsabilità, seppur con gradazioni differenti, derivante da entrambi i ruoli.
Tuttavia, sul punto si evidenzia che, diversamente dal DPO, il quale supervisiona trasversalmente su tutte le aree aziendali, l’Esponente responsabile AML ha un ruolo di coordinamento e di supervisione diretta della Funzione AML. In entrambi i casi, si tratta di un ruolo che prevede la supervisione e la gestione di processi rilevanti per il Business: da una parte, il trattamento dei dati, la cui cattiva gestione può comportare gravi conseguenze per la riservatezza delle persone; dall’altra, il sistema antiriciclaggio, quale funzione essenziale nel contrasto alla criminalità finanziaria.
Chi sono i soggetti che possono essere designati per ricoprire i due ruoli?
In base alle considerazioni fatte nei paragrafi precedenti, è interessante offrire una breve disamina con riferimento ai soggetti cui possono essere affidati i suddetti incarichi. Nel caso del DPO, la normativa prevede che tale incarico possa essere, indifferentemente, affidato sia a soggetti interni che soggetti esterni all’azienda. Precisamente, tale incarico può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti. I soggetti designati devono essere in grado di garantire l’effettivo assolvimento dei compiti che il Regolamento assegna a tale figura. Il DPO scelto all’interno andrà nominato mediante specifico atto di designazione (ad es. lettera d’incarico), mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto.
Tra le due figure comunque occorre fare un distinguo
Il Provvedimento di Banca d’Italia prevede che gli Enti vigilati nominino “un componente dell’organo di amministrazione quale esponente responsabile per l’antiriciclaggio”. Non solo, in determinate casistiche l’incarico può essere attribuito al direttore generale. Diverso è invece il caso del ruolo del DPO, che (come da Faq del Garante Privacy) appare incompatibile con incarichi all’interno dei quali esso stesso sia autonomo nel definire la modalità e la finalità del trattamento dei dati.
Quali prospettive?
Traendo le fila, sarà interessante vedere come gli Enti vigilati si adopereranno per osservare per tempo il Provvedimento della Banca d’Italia. Nell’attesa, alcuni quesiti sorgono spontanei. Come gestiranno la nomina dell’Esponente responsabile AML? Nel silenzio della norma, essi potranno, così come avviene nel mondo Privacy, affidarsi a soggetti terzi per l’espletamento del ruolo? Infine, sarà possibile nominare a Consigliere d’Amministrazione un soggetto fino a quel momento esterno, con comprovata conoscenza della materia, e affidargli la delega all’AML? E facendo una riflessione ancora più audace… sarà ipotizzabile investire dei ruoli di E.R.A. e DPO un unico soggetto terzo esperto di entrambe le materie?
Per informazioni sui nostri servizi