Art. 15 Antiriciclaggio – Valutazione del rischio da parte dei soggetti obbligati (1)

Il risk-based approach come pilastro dell’antiriciclaggio moderno

L’art. 15 D.Lgs. 231/2007, nella formulazione introdotta dal D.Lgs. 90/2017 di recepimento della IV Direttiva UE 2015/849, codifica il principio cardine dell’antiriciclaggio contemporaneo: il risk-based approach (RBA). Ogni soggetto obbligato non applica meccanicamente regole uguali per tutti, ma calibra i propri adempimenti AML in funzione del rischio effettivo cui è esposto. Il legislatore europeo, e di riflesso quello italiano, ha abbandonato la logica del «rule-based» a favore di un sistema in cui banche, intermediari, professionisti e operatori non finanziari sono chiamati a conoscere il proprio rischio e a dimensionare proporzionalmente presidi, controlli e adeguata verifica della clientela.

L’autovalutazione del rischio: documento interno obbligatorio

Il comma 2 impone ai soggetti obbligati di adottare procedure oggettive e coerenti per analizzare e valutare i rischi di riciclaggio e di finanziamento del terrorismo. Concretamente ciò si traduce nell’obbligo di redigere un documento di autovalutazione del rischio (risk assessment), interno alla struttura, che fotografa la propria esposizione. Tale obbligo, generalizzato dal 2017, riguarda sia i grandi gruppi bancari sia il piccolo studio professionale: cambia, evidentemente, l’articolazione del documento, ma non l’obbligo in sé. Per i professionisti senza dipendenti il risk assessment può essere snello, anche di poche pagine; per le banche è un fascicolo complesso che alimenta l’ICAAP e la relazione annuale alla funzione antiriciclaggio.

I quattro fattori di rischio da valutare

La norma elenca espressamente i fattori che concorrono alla valutazione:

• Tipologia di clientela: persone politicamente esposte (PEP), soggetti esteri, clienti ad alto valore patrimoniale, persone fisiche vs strutture giuridiche complesse, trust, fiduciarie, società con catene partecipative articolate, presenza di titolari effettivi non immediatamente identificabili.
• Prodotti e servizi offerti: alcuni prodotti hanno un rischio intrinseco maggiore (private banking, prodotti di investimento offshore, crypto-asset, prepagate anonime, money transfer); altri sono a rischio strutturalmente basso (mutui prima casa, conti correnti retail ordinari).
• Canali di distribuzione: la presenza fisica del cliente abbatte il rischio rispetto all’operatività interamente online o tramite intermediari terzi; l’onboarding digitale richiede presidi tecnologici dedicati (riconoscimento biometrico, video-identificazione qualificata).
• Aree geografiche: occorre considerare i paesi terzi ad alto rischio individuati dalla Commissione UE, le black list e grey list del GAFI, le indicazioni dell’UIF su giurisdizioni non cooperative.

Coordinamento con l’analisi nazionale del rischio

L’autovalutazione del singolo soggetto obbligato non vive in isolamento. Il MEF, in coordinamento con il Comitato di sicurezza finanziaria, redige periodicamente l'analisi nazionale del rischio di riciclaggio e finanziamento del terrorismo per l’Italia. I soggetti obbligati devono considerare le risultanze di tale analisi nazionale quando elaborano il proprio risk assessment: se la NRA segnala, ad esempio, un’esposizione elevata del settore edile o di determinate aree territoriali, lo studio professionale o l’istituto di credito operante in quel settore deve tenerne conto nella propria valutazione.

Metodologia: rischio inerente, controlli mitiganti, rischio residuo

La prassi operativa, mutuata dagli standard internazionali e dalle indicazioni delle autorità di vigilanza, segue uno schema metodologico abbastanza consolidato. Si parte dal rischio inerente, ovvero il rischio teorico associato alla combinazione di clientela, prodotti, canali e geografie, prima di considerare i presidi adottati. Si applicano quindi i controlli mitiganti (procedure di adeguata verifica, formazione, sistemi informatici, funzione AML, segnalazione operazioni sospette) e si determina il rischio residuo. La categorizzazione tipica prevede classi di rischio basso, medio, alto e, in alcuni modelli, inaccettabile (con obbligo di non instaurare il rapporto o di interromperlo).

Provvedimento Banca d'Italia e Regole tecniche CNDCEC

Il comma 1 dell’art. 15 attribuisce alle autorità di vigilanza di settore e agli organismi di autoregolamentazione il compito di dettare criteri e metodologie. Per banche e intermediari finanziari il riferimento è il Provvedimento Banca d'Italia del 26 marzo 2019 (Disposizioni in materia di adeguata verifica della clientela e in materia di organizzazione, procedure e controlli interni). Per i professionisti contabili e dottori commercialisti operano le Regole tecniche del CNDCEC del 2019, che declinano in modo specifico la metodologia di autovalutazione, fornendo questionari, matrici e classi di rischio adattate alla realtà degli studi professionali. Per notai, avvocati e altri professionisti esistono analoghe regole tecniche degli ordini di appartenenza.

Aggiornamento periodico e documentazione

Il comma 4 chiarisce che la valutazione del rischio è documentata e periodicamente aggiornata. La prassi e le indicazioni delle autorità individuano almeno una cadenza annuale di revisione, fermo restando l’obbligo di aggiornamento ogni volta che si verifichino eventi rilevanti: ingresso in nuovi mercati, lancio di nuovi prodotti, modifiche normative significative, acquisizione di clientela con profilo di rischio diverso dal portafoglio storico, esiti di ispezioni o segnalazioni UIF. Il documento deve essere messo a disposizione delle autorità di vigilanza e degli organismi di autoregolamentazione richiamati dall’art. 21, comma 2, lettera a): Banca d'Italia, IVASS, CONSOB, MEF, Guardia di Finanza, UIF e ordini professionali, ciascuno per le proprie competenze.

Casi pratici

Per cogliere il senso pratico dell’art. 15 può essere utile un esempio concreto. Si pensi a uno studio commercialista con cinquanta clienti, prevalentemente piccole SRL locali con fatturato sotto 500 mila euro, attività manifatturiera o di servizi tradizionali, soci e amministratori italiani residenti: il profilo di rischio aggregato sarà mediamente basso. Se nello stesso studio entrano alcune società con soci esteri o catene partecipative estere, il rischio per quelle posizioni sale a medio. Se infine lo studio segue uno o due trust o un fiduciante con patrimoni rilevanti, quelle singole posizioni vanno classificate ad alto rischio e gestite con adeguata verifica rafforzata, presidi documentali più stringenti e attenzione costante alla provenienza dei fondi e alle operazioni inusuali.

Esclusioni dall’obbligo

Il comma 3 consente alle autorità di vigilanza, informandone il Comitato di sicurezza finanziaria, di individuare categorie di soggetti obbligati per i quali la disciplina dell’art. 15 non trova applicazione, qualora il rischio sia irrilevante o i prodotti e servizi presentino caratteristiche di rischio già tipizzate. Si tratta di esclusioni circoscritte, motivate e formalizzate, non di una via di fuga generalizzata.

Sanzioni in caso di omessa o inadeguata valutazione

L’omissione del risk assessment o la sua manifesta inadeguatezza integra una violazione dell’art. 15 sanzionata in via amministrativa ai sensi dell'art. 56 D.Lgs. 231/2007, che prevede la sanzione pecuniaria edittale per le violazioni degli obblighi di organizzazione, procedure e controlli interni. La giurisprudenza amministrativa e la prassi ispettiva di Banca d'Italia e UIF tendono a valutare non soltanto la presenza formale del documento, ma la sua effettiva coerenza con l’operatività concreta: un risk assessment generico, copia-incolla di modelli standard, non aggiornato e privo di evidenza dei controlli mitiganti, è considerato inadeguato e quindi sanzionabile al pari della totale omissione. Le ispezioni della Guardia di Finanza, in particolare, partono spesso proprio dalla richiesta del documento di autovalutazione: la sua assenza apre la strada a contestazioni ulteriori, perché viene letto come indice di un più ampio deficit organizzativo e di mancata cultura della compliance.

Relazione con gli altri obblighi del decreto

La valutazione del rischio non è un adempimento isolato. È la premessa logica e operativa di tutti gli altri obblighi disciplinati dal D.Lgs. 231/2007. La graduazione dell’adeguata verifica della clientela, prevista dagli articoli 18 e seguenti, dipende dal livello di rischio attribuito al cliente in sede di autovalutazione: a fronte di un rischio basso si può applicare la verifica semplificata (art. 23), a fronte di un rischio alto la verifica rafforzata (art. 24-25). Anche la conservazione dei dati (art. 31-34), la formazione del personale (art. 16), l’organizzazione e i controlli interni (art. 16) e la stessa segnalazione di operazioni sospette (art. 35) sono modulati sul profilo di rischio del soggetto obbligato e della clientela. Senza autovalutazione, paradossalmente, il soggetto obbligato non dispone della bussola necessaria per orientare correttamente l’intero sistema di presidi.

Profili organizzativi: chi redige e approva il documento

La responsabilità della redazione e dell’aggiornamento dell’autovalutazione varia in funzione della tipologia di soggetto obbligato. Negli intermediari finanziari e bancari il documento è elaborato dalla funzione antiriciclaggio, approvato dagli organi aziendali (consiglio di amministrazione, su parere del collegio sindacale e con il coinvolgimento dell’alta dirigenza) e raccordato con il piano di audit interno. Negli studi professionali individuali la responsabilità coincide con quella del titolare; negli studi associati o nelle STP la responsabilità è ripartita tra i soci, ma è opportuno che un socio o un collaboratore qualificato funga da responsabile antiriciclaggio interno, garantendo la tenuta del documento, l’aggiornamento e la formazione del personale. Per le società di revisione e per gli operatori non finanziari valgono regole analoghe, con declinazione organizzativa proporzionata alle dimensioni.

Indicazioni pratiche per la stesura

Un buon documento di autovalutazione, indipendentemente dalle dimensioni del soggetto obbligato, dovrebbe contenere almeno: una descrizione dell’attività e del modello di business; la mappatura della clientela per tipologia, area geografica e settore; l’elenco dei prodotti e servizi con relativo rischio inerente; l’indicazione dei canali utilizzati per l’onboarding e l’operatività; la metodologia di scoring adottata (pesi, soglie, classi di rischio); l'elenco dei controlli mitiganti (procedure, software, formazione, audit); la conclusione sulla classe di rischio complessiva dello studio o dell’intermediario; il piano di azione per i rischi residui non pienamente coperti; la data di redazione e quella di prossima revisione. Allegati utili sono il questionario di adeguata verifica adottato, la lista dei paesi a rischio adottata, i flussi di lavoro per la segnalazione di operazioni sospette.