In attuazione della IV Direttiva comunitaria relativa alla prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo (Direttiva UE 2015/849), il Governo ha emanato il Decreto Legislativo n. 90 del 25 maggio 2017, pubblicato in Gazzetta Ufficiale il 19 giugno 2017.

Tale decreto legislativo ha riscritto integralmente il d.lgs. 231/2007, in materia di contrasto al riciclaggio e finanziamento del terrorismo, con la finalità di rendere la normativa domestica omogenea con la disciplina approvata a livello comunitario.

Tra i profili di maggior interesse contenuti nel testo del decreto, occorre anzitutto menzionare l’inclusione tra i soggetti tenuti al rispetto degli obblighi di cui al d.lgs. 231/2007 degli intermediari bancari e finanziari e le imprese assicurative aventi sede legale e amministrazione centrale in un altro Stato membro, stabiliti senza succursale sul territorio della Repubblica Italiana, così come i nuovi obblighi in materia di autovalutazione del rischio e le nuove disposizioni in materia di segnalazioni delle operazioni sospette da parte dei soggetti obbligati.

Segnatamente, la novella legislativa, che risulterà applicabile anche agli intermediari “cross-border” operanti in Italia), prevede:

  • l’estensione del c.d. risk based approach ed un nuovo regime degli obblighi (rafforzati e semplificati) di adeguata verifica della clientela;
  • misure volte a conferire maggiore chiarezza e accessibilità alle informazioni sulla titolarità effettiva dei rapporti, specialmente con riferimento a società e trust;
  • obblighi di segnalazione delle operazioni e di conservazione della relativa documentazione;
  • un complesso regime sanzionatorio.

Nel seguito si offre una sintetica panoramica delle principali novità introdotte dal legislatore in sede di implementazione della normativa comunitaria.

a) Obblighi di adeguata verifica

La disciplina in esame razionalizza e semplifica gli adempimenti richiesti dall’attuale regime normativo, soprattutto in merito al contenuto, alle modalità ed alla tempistica di esecuzione. In particolare, si prevede quanto segue:

  • i soggetti obbligati dovranno procedere all'adeguata verifica del cliente e del titolare effettivo in occasione (i) dell'instaurazione di un rapporto continuativo ovvero (ii) dell'esecuzione di un'operazione occasionale che comporti la trasmissione o la movimentazione di mezzi di pagamento di importo pari o superiore a 15.000 euro ovvero (iii) nel caso di trasferimento di fondi superiori a 1.000 euro attraverso sistemi di pagamento diversi da quello SEPA e - indipendentemente dalle modalità di trasferimento quando - vi siano dubbi riguardo alla veridicità dei dati precedentemente ottenuti o vi sia sospetto di riciclaggio o di finanziamento del terrorismo.
  • i clienti - specificatamente le imprese dotate di personalità giuridica e le persone giuridiche private (i.e. associazioni, fondazioni e le altre istituzioni di carattere privato di cui al DPR 361/2000) - saranno tenuti ad un duplice obbligo: la conservazione e la comunicazione delle informazioni. Il primo prevede che le informazioni adeguate, accurate e aggiornate sui propri titolari effettivi, siano conservate per un periodo non inferiore a cinque anni e siano fornite ai soggetti obbligati in occasione degli adempimenti strumentali all'adeguata verifica della clientela; il secondo obbligo prevede la comunicazione al Registro delle Imprese o al registro delle persone giuridiche private delle informazioni relative ai propri titolari effettivi; tali registri saranno consultabili sia dalle Autorità di vigilanza che dai soggetti destinatari degli obblighi di identificazione e di adeguata verifica.

A tale riguardo, saranno individuati con apposito decreto del Ministero dell'Economia e delle Finanze, i dati e le informazioni oggetto di comunicazione ai registri sopra menzionati.

  • i soggetti obbligati saranno principalmente tenuti, dopo aver identificato il cliente ed individuato il titolare effettivo, ad eseguire un controllo costante del rapporto instauratosi adottando un approccio basato sul rischio.

Nello specifico, saranno tenuti ad attuare misure semplificate di adeguata verifica, per clienti caratterizzati da un basso profilo di rischio, e rafforzate per clienti caratterizzati da un alto profilo di rischio, ponendo quindi in essere misure volte a prevenire o mitigare il riciclaggio e il finanziamento al terrorismo proporzionali ai rischi effettivamente individuati. In tal senso, il decreto prevede un elenco non esaustivo di indici e circostanze indicanti clienti con un elevato profilo di rischio, includendo in quest'ultima categoria, come ulteriore novità, le persone nazionali politicamente esposte. In particolare, il decreto ha cristallizzato delle ipotesi di presunzione iuris et de iure di elevata rischiosità rispetto alle quali è sempre richiesta ai soggetti obbligati l'applicazione di misure rafforzate di adeguata verifica della clientela.

b) Obblighi di conservazione di dati raccolti

Le nuove disposizioni prevedono che i soggetti obbligati conservino copia dei documenti acquisiti in occasione dell'adeguata verifica della clientela, indicandone la relativa data in modo tale che sia possibile ricostruire univocamente:

- la data di instaurazione del rapporto continuativo o del conferimento dell'incarico;

- i dati identificativi del cliente, del titolare effettivo e dell'esecutore e le informazioni sullo scopo e la natura del rapporto o della prestazione;

- i mezzi di pagamento utilizzati.

I dati ottenuti devono essere raccolti in maniera "tempestiva", ossia entro 30 giorni dall'instaurazione del rapporto continuativo od occasionale, e conservati per un periodo di dieci anni dalla cessazione del relativo rapporto professionale. Ai fini di una corretta conservazione dei dati, delle informazioni e dei documenti, i soggetti obbligati potranno avvalersi di un autonomo centro di servizi ovvero di un soggetto esterno.

Gli intermediari bancari e finanziari trasmettono alla UIF ("Unità di Informazione Finanziaria") dati aggregati concernenti la propria operatività, al fine di consentire l'effettuazione di analisi mirate e far emergere eventuali fenomeni di riciclaggio.

c) Obblighi di segnalazione

Come noto, i soggetti obbligati, dopo aver analizzato il rischio oggettivo di riciclaggio o di finanziamento del terrorismo dell'operazione posta in essere dal cliente sulla base di specifici indicatori di anomalia adottati e periodicamente emanati dalla UIF, volti ad agevolare l'individuazione delle c.d. operazioni sospette, hanno l'obbligo, se del caso, di effettuare la segnalazione alla UIF. Il decreto richiede che i soggetti obbligati, sulla base dei criteri e delle metodologie dettate dall'Autorità di vigilanza, si dotino di procedure oggettive e coerenti rispetto ai suddetti criteri tenendo conto dei fattori di rischio associati alla tipologia di clientela, all'area geografica di operatività, ai canali distributivi e ai prodotti e servizi offerti. È evidente pertanto che i criteri di valutazione da parte dei soggetti obbligati dovranno essere predisposti sulla base dell'effettiva operatività degli stessi e, quindi, la valutazione dovrà essere svolta in base alla tipologia di rapporti continuativi intrattenuti con la clientela e la tipologia di operazioni eseguite.

Entro i limiti della propria autonomia organizzativa ciascun soggetto obbligato deve porre in essere un esercizio di autovalutazione propedeutico per far sì che i presidi, i controlli e le procedure adottate risultino adeguate alla propria natura e dimensione ed idonee a mitigare e gestire i rischi di riciclaggio e di finanziamento del terrorismo. A tal fine è previsto un doppio livello di valutazione del rischio delle operazioni: (i) in primo luogo la persona fisica materialmente preposta alla gestione del rapporto con il cliente deve segnalare tempestivamente al livello superiore (legale rappresentante, titolare di specifica funzione o altro soggetto delegato) le operazioni sospette di riciclaggio o di finanziamento al terrorismo, (ii) in secondo luogo la persona fisica responsabile deve rimettere al soggetto delegato l'ulteriore vaglio in ordine alla sussistenza di tali elementi di rischiosità e la valutazione in merito all'eventuale invio della relativa segnalazione alla UIF, priva del nominativo del segnalante.

Si richiede, infatti, ad ogni soggetto obbligato di sviluppare uno specifico canale di segnalazione, anonimo e indipendente, proporzionato alla natura e alle dimensioni dello stesso.

Il nominativo del segnalante non potrà in alcun caso essere rivelato, salvo l'emanazione di un provvedimento ad hoc da parte dell'Autorità Giudiziaria che disponga altrimenti.

È in ogni caso proibito ai soggetti tenuti alla segnalazione di dare comunicazione al cliente interessato o a terzi dell'avvenuta segnalazione.

Si rammenta, infine, che i soggetti obbligati che si trovano nell'impossibilità oggettiva, ossia ad essi non imputabile, di procedere agli obblighi di adeguata verifica della clientela dovranno astenersi dall'instaurare con tali clienti ogni rapporto continuativo o occasionale.