Autorita di vigilanza AML: casi pratici art. 7 D.Lgs. 231/2007

L’art. 7 D.Lgs. 231/2007 attribuisce a Banca d’Italia, CONSOB e IVASS il ruolo di autorita di vigilanza di settore per la prevenzione del riciclaggio e del finanziamento del terrorismo. Ciascuna autorita verifica l’adeguatezza degli assetti organizzativi e procedurali dei soggetti obbligati che rientrano nel proprio perimetro, emette disposizioni attuative su procedure interne, controlli e adeguata verifica della clientela, e calibra i controlli sul profilo di rischio. Cinque scenari mostrano come si traduce, sul campo, il rapporto tra operatore obbligato e autorita vigilante.

Prima degli esempi: il quadro normativo

L’art. 7 si inserisce in un’architettura multilivello: il MEF ha la titolarita politica; il Comitato di Sicurezza Finanziaria (CSF) coordina le autorita nazionali; l’UIF presso BdI riceve e analizza le segnalazioni di operazioni sospette; GdF e DIA conducono gli approfondimenti investigativi. Le autorita di vigilanza di settore presidiano l’anello piu vicino all’operativita degli intermediari vigilati: assetti organizzativi, procedure, controlli, adeguata verifica.

Il modello e risk-based: ogni autorita modula i controlli sul profilo di rischio dell’intermediario e del settore, in linea con il Regolamento (UE) 2024/1624 (AML6) e con l’autorita unica AMLA.

Riparto di competenze: BdI, CONSOB, IVASS

Il perimetro soggettivo dell’art. 7, integrato dall’art. 1, comma 2, lett. e), del D.Lgs. 231/2007, si articola in tre filiere:

• Banca d’Italia — banche, intermediari finanziari iscritti all’albo art. 106 TUB, istituti di pagamento, istituti di moneta elettronica (IMEL), SGR limitatamente ai profili di stabilita, prestatori di servizi in attivita finanziaria, confidi maggiori. Dal 2024-2025 rientrano anche i prestatori di servizi su cripto-attivita (CASP) autorizzati ai sensi del Regolamento UE 2023/1114 (MiCA).
• CONSOB — SIM, SGR per i profili di trasparenza e correttezza, Sicav e Sicaf, intermediari del mercato mobiliare, gestori di portali di crowdfunding, sedi di negoziazione.
• IVASS — imprese di assicurazione del ramo vita e ramo danni con prodotti d’investimento, imprese di riassicurazione, agenti e broker assicurativi limitatamente ai prodotti con componente finanziaria.

Quando un soggetto opera trasversalmente (banca con sportello assicurativo, gruppo misto con SGR e impresa vita), il riparto si risolve per materia e non per soggetto: ciascuna autorita esercita le proprie competenze sui rispettivi profili regolamentari, in coordinamento bilaterale tramite protocolli di intesa.

Poteri ispettivi e sanzionatori

Le autorita esercitano tre categorie di poteri. Regolatori: emanano disposizioni attuative AML (Provv. BdI 26 marzo 2019 su adeguata verifica; Provv. BdI 24 marzo 2020 su organizzazione e controlli; Regolamenti CONSOB; Reg. IVASS 44/2019). Ispettivi: accedono agli uffici, acquisiscono documenti, sentono dipendenti e amministratori, richiedono dati periodici. Sanzionatori: irrogano sanzioni amministrative pecuniarie agli intermediari e agli esponenti aziendali (artt. 56-69 D.Lgs. 231/2007), fino a 5 milioni di euro o al 10% del fatturato per le violazioni piu gravi.

L’attivita e largamente preventiva: lettere di richiamo, contestazioni di assetti inadeguati, piani di rimedio, ordini di rimozione di esponenti aziendali. La sanzione interviene quando la risposta dell’intermediario e inadeguata o la violazione e conclamata.

Caso 1: SIM vigilata da CONSOB con carenza procedure AML

Scenario. Una SIM di medie dimensioni, attiva nel collocamento di prodotti finanziari complessi, riceve visita ispettiva CONSOB. Gli ispettori rilevano che la procedura di adeguata verifica rafforzata non e stata aggiornata dopo l’estensione del perimetro a clientela residente in paesi terzi a rischio elevato; il sistema di alerting non scatta sulle operazioni con controparti in giurisdizioni GAFI.

Come si legge in pratica. La SIM, intermediario vigilato ex art. 7, deve avere assetti organizzativi adeguati al profilo di rischio. La carenza viola gli obblighi di adeguata verifica rafforzata (art. 24) e gli obblighi organizzativi (art. 16). CONSOB puo notificare contestazione formale, richiedere piano di rimedio e avviare il procedimento sanzionatorio (art. 65); l’importo e modulato su disvalore, dimensione e cooperazione.

Documenti. Verbale ispettivo, manuale procedure AML, mappatura clienti per rischio, evidenze formazione, report internal audit, parere del responsabile AML.

Caso 2: Banca con sanzione BdI per omessa adeguata verifica

Scenario. Una banca commerciale apre un conto a una societa di nuova costituzione presentata da un cliente storico. Il rapporto e classificato a basso rischio sulla base della referenza, senza approfondire la struttura societaria estera della holding ne identificare il titolare effettivo. Tre anni dopo BdI rileva che la societa era un veicolo di intestazione fiduciaria e che operazioni sospette transitate sul conto non sono state segnalate.

Come si legge in pratica. La banca viola l’art. 18 (adeguata verifica ordinaria), l’art. 20 (titolare effettivo) e l’art. 35 (segnalazione operazioni sospette). Il Provv. BdI 26 marzo 2019 chiarisce che il basso rischio non puo fondarsi su referenze interne quando la controparte presenta strutture complesse od opacita. BdI puo sanzionare la banca e, in concorso, gli esponenti aziendali responsabili AML; l’art. 56 prevede sanzioni autonome quando i sistemi di controllo siano gravemente inadeguati.

Documenti. Fascicolo KYC, visure societarie italiane ed estere, dichiarazione titolare effettivo, registro operazioni anomale, organigramma funzione AML, verbali del comitato controlli.

Caso 3: Compagnia assicurativa con segnalazioni IVASS

Scenario. Una compagnia ramo vita colloca polizze unit-linked a premio unico elevato. In pochi mesi una rete di agenti procaccia una concentrazione anomala di polizze sopra i 200.000 euro da clienti della stessa provincia, con disinvestimento parziale entro diciotto mesi. Il monitoraggio AML interno non scatta perche tarato solo sulla soglia di premio annua per cliente.

Come si legge in pratica. IVASS valuta la coerenza fra profilo di rischio del prodotto e presidi adottati. La concentrazione e un classico red flag di possibile riciclaggio in placement e successivo layering. Il Reg. IVASS 44/2019 impone procedure di profilatura dinamica e regole di alerting calibrate sul prodotto, non solo sul cliente. IVASS puo contestare i controlli (artt. 16 e 56), richiedere piano di rimedio, sanzionare la compagnia e gli esponenti, segnalare alla UIF per gli approfondimenti.

Documenti. Regolamento interno AML, manuale agenti, scheda prodotto unit-linked, log del monitoraggio, report mensili AML, verbali del comitato rischi.

Caso 4: Intermediario crypto vigilato BdI ex MiCA

Scenario. Un prestatore di servizi su cripto-attivita (CASP), autorizzato MiCA e iscritto nel registro BdI, gestisce volumi crescenti di custodia e scambio per clienti retail. BdI rileva in sede ispettiva che le procedure di travel rule sui trasferimenti sopra 1.000 euro non sono operative, in particolare sui dati del beneficiario verso wallet self-hosted.

Come si legge in pratica. Il CASP rientra fra i nuovi soggetti obbligati sotto vigilanza BdI per effetto dell’integrazione fra MiCA, Reg. UE 2023/1113 (travel rule) e D.Lgs. 231/2007. La carenza viola gli obblighi informativi del Reg. 2023/1113 e gli obblighi di adeguata verifica rafforzata sui trasferimenti verso wallet non identificabili. La risposta tipica e bifasica: ordine di adeguamento a tempi stretti, eventuale sanzione proporzionata a durata e volume delle operazioni non presidiate.

Documenti. Autorizzazione MiCA, policy travel rule, log delle transazioni cripto con e senza dati beneficiario, contratti con providers di analisi blockchain, evidenze KYC, verbali CdA su strategie AML.

Caso 5: Coordinamento BdI-CONSOB su gruppo misto

Scenario. Un gruppo finanziario quotato comprende banca, SGR e SIM. La capogruppo adotta una politica AML unitaria con responsabile antiriciclaggio centralizzato. BdI ispeziona la banca e CONSOB conduce un controllo parallelo sulla SIM. Emergono due rilievi: procedure SGR disallineate rispetto al manuale di gruppo; criteri di rischio della SIM non aggiornati sui clienti istituzionali esteri.

Come si legge in pratica. Il coordinamento BdI-CONSOB si basa su protocolli di intesa che evitano duplicazioni. Ciascuna autorita resta titolare della contestazione sui propri vigilati: BdI sulla banca e sulla SGR per i profili di stabilita, CONSOB sulla SGR per trasparenza e correttezza e sulla SIM. Il gruppo deve dimostrare che le procedure di gruppo sono calibrate sui rischi specifici di ciascun intermediario e che il responsabile AML centralizzato dispone di poteri e risorse adeguate. L’art. 9 del decreto disciplina lo scambio di informazioni fra autorita.

Documenti. Politica AML di gruppo, organigramma della funzione AML centralizzata, mappa rischi per societa, verbali comitati di gruppo, evidenze flussi informativi infragruppo.

Quando e come reagire

Per l’operatore obbligato che riceve contestazione o visita ispettiva valgono alcuni principi pratici. Tempestivita: i termini per documenti e memorie sono perentori. Cooperazione documentata: verbalizzare internamente ogni interazione e conservare copia di quanto consegnato. Piano di rimedio: impegnarsi con scadenze realistiche e verificabili. Difesa: la contestazione formale apre la fase difensiva con memorie scritte, audizioni e, in alcuni casi, definizione agevolata.

L’intermediario vigilato deve prevenire: formazione periodica, audit interno indipendente, aggiornamento procedure dopo ogni mutamento regolamentare (Provvedimento BdI maggio 2019 e successivi, Regolamenti CONSOB e IVASS), test di efficacia dei controlli.

Norme e fonti

• art. 7 D.Lgs. 231/2007 — autorita di vigilanza di settore
• Art. 8 D.Lgs. 231/2007 — amministrazioni interessate e organismi di autoregolamentazione
• Art. 9 D.Lgs. 231/2007 — scambio di informazioni e collaborazione tra autorita
• Art. 16 D.Lgs. 231/2007 — obblighi organizzativi e di controllo dei soggetti obbligati
• Artt. 18-22 D.Lgs. 231/2007 — adeguata verifica della clientela
• Art. 56 D.Lgs. 231/2007 — sanzioni amministrative per inosservanza obblighi organizzativi
• Provvedimento Banca d’Italia 26 marzo 2019 — disposizioni in materia di adeguata verifica della clientela
• Provvedimento Banca d’Italia 24 marzo 2020 — disposizioni su organizzazione, procedure e controlli interni AML
• Regolamento IVASS n. 44 del 12 febbraio 2019 — disposizioni attuative in materia di adeguata verifica e organizzazione AML per il settore assicurativo
• Regolamento (UE) 2024/1624 (AML6) — quadro armonizzato europeo in materia di prevenzione del riciclaggio
• Regolamento (UE) 2023/1114 (MiCA) — mercati delle cripto-attivita
• Regolamento (UE) 2023/1113 (travel rule) — informazioni che accompagnano i trasferimenti di fondi e cripto-attivita

Domande frequenti

1. Come si stabilisce quale autorita vigila su un determinato intermediario?
Il criterio non e soggettivo ma per materia: BdI presidia i profili di stabilita e organizzazione di banche, intermediari finanziari, istituti di pagamento, IMEL, SGR e dal 2024-2025 dei CASP autorizzati MiCA; CONSOB vigila SIM, Sicav, gestori di portali e i profili di trasparenza e correttezza delle SGR; IVASS si occupa delle imprese di assicurazione e riassicurazione. Quando un soggetto opera trasversalmente, si applicano protocolli di intesa fra autorita.

2. Che differenza c’e fra autorita di vigilanza di settore e UIF?
L’UIF, incardinata in BdI ma con autonomia funzionale, riceve e analizza le segnalazioni di operazioni sospette (SOS) e svolge analisi finanziaria. Le autorita di vigilanza di settore (BdI come supervisore prudenziale, CONSOB, IVASS) verificano l’adeguatezza degli assetti organizzativi e procedurali degli intermediari. I due piani sono distinti: la SOS va sempre alla UIF, non all’autorita di vigilanza di settore.

3. Quali sanzioni rischia un intermediario vigilato per carenze AML?
Le sanzioni amministrative pecuniarie previste dal D.Lgs. 231/2007 vanno, per le ipotesi piu gravi, fino a 5 milioni di euro o al 10% del fatturato annuo dell’intermediario, con ulteriori sanzioni autonome a carico degli esponenti aziendali responsabili (artt. 56-69). Sono inoltre previste misure non pecuniarie: ordine di rimozione di esponenti aziendali, divieto temporaneo di esercitare determinate funzioni, pubblicazione del provvedimento.

4. Come incide il Regolamento UE 2024/1624 (AML6) sui poteri delle autorita nazionali?
Il Regolamento armonizza gli obblighi sostanziali (adeguata verifica, titolare effettivo, segnalazioni) e istituisce l’autorita europea AMLA, che vigilera direttamente sui gruppi finanziari transfrontalieri ad alto rischio e coordinera le autorita nazionali. BdI, CONSOB e IVASS restano competenti sui soggetti vigilati italiani non rientranti nel perimetro AMLA, con un dialogo strutturato in sede europea e una progressiva convergenza degli standard ispettivi e sanzionatori.