Avv. Giulia Arangüena – [email protected]
Nuovi obblighi,
adeguata
verifica e
adempimenti
antiriciclaggio
dei prestatori di
servizi di
conversione di
valuta virtuale Ipotesi di lavoro per la configurazione del
relativo servizio per conto dei prestatori dei
servizi di conversione di valuta virtuale
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
1
Nuovi obblighi, adeguata
verifica e adempimenti
antiriciclaggio dei
prestatori di servizi di
conversione di valuta
virtuale
Ipotesi di lavoro per la configurazione del relativo servizio
per conto dei prestatori dei servizi di conversione di valuta
virtuale Glossario e riferimenti normativi
Prestatore/i di Servizi: è il soggetto che offre servizi
relativi all'utilizzo di valuta virtuale, limitatamente allo
svolgimento dell'attività di conversione di valute
virtuali da ovvero in valute aventi corso forzoso.
Valuta Virtuale: la rappresentazione digitale di
valore, non emessa da una banca centrale o da
un'autorità pubblica, non necessariamente
collegata a una valuta avente corso legale,
utilizzata come mezzo di scambio per l'acquisto di
beni e servizi e trasferita, archiviata e negoziata
elettronicamente.1
Decreto: è il D.Lgs. 21 novembre 2007 n. 231 "Attuazione della direttiva
2005/60/CE concernente la prevenzione dell'utilizzo del sistema finanziario a
1 La definizione di valuta virtuale è stata introdotta nel nostro ordinamento dal D.Lgs. 25 maggio 2017, n. 90.
Tuttavia, si segnala che essa è stata mutuata dall’Autorità Bancaria Europea, che ha definito le valute virtuali
come rappresentazioni digitali di valore che non sono emesse da una banca centrale o autorità pubblica né
Case study • • •
Formalizzazione di un
contratto di
outsourcing&service tra
un Istituto di
Pagamento ed un
Prestatore di Servizi di
conversione di Valuta
Virtuale. Per la
ideazione della
struttura di contratto e
l’individuazione dei
contenuti, si è reso
necessario svolgere uno
un approfondimento
generale alla luce dei
recenti sviluppi della
disciplina
antiriciclaggio, allo
scopo di individuare
quali adempimenti
possono essere fatti
oggetto di
esternalizzazione.
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
2
scopo di riciclaggio dei proventi di attività criminose e di finanziamento del
terrorismo nonché della direttiva 2006/70/CE che ne reca misure di esecuzione”,
con testo in vigore dal 4 luglio 2017.
Decreto di Riforma: è il D.Lgs. 25 maggio 2017, n. 90 di “Attuazione della direttiva
(UE) 2015/849 relativa alla prevenzione dell'uso del sistema finanziario a scopo di
riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo e
recante modifica delle direttive 2005/60/CE e 2006/70/CE e attuazione del
regolamento (UE) n. 2015/847 riguardante i dati informativi che accompagnano
i trasferimenti di fondi e che abroga il regolamento (CE) n. 1781/2006”.
Provvedimento ADV: è il provvedimento della Banca d’Italia del 3 aprile 2013
recante disposizioni attuative in materia di adeguata verifica della clientela, e
ss.mm., in vigore fino al 31 marzo 2018.
Provvedimento per l’Organizzazione Interna: è il provvedimento della Banca
d’Italia del 10 marzo 2011, recante disposizioni attuative in materia di
organizzazione, procedure e controlli interni per evitare il coinvolgimento degli
intermediari finanziari in fenomeni di riciclaggio e di finanziamento del terrorismo,
e ss.mm., in vigore fino al 31 marzo 2018.
Provvedimento AUI: è il provvedimento Banca d’Italia del 3 aprile 2013, recante
disposizioni attuative perla tenuta dell’Archivio Unico Informatico (di seguito,
AUI) e per le modalità semplificate di registrazione di cui all’art. 37, commi 7 e 8
del Decreto, e ss.mm., in vigore fino al 31 marzo 2018.
Premessa operativa Con l’attuazione della direttiva (UE) n. 2015/849 (c.d. IV Direttiva Antiriciclaggio)
attraverso il Decreto Legislativo 25 maggio 2017, n. 90, entrato in vigore il 4 luglio
2017, il Decreto è stato riformato e novellato in più punti.
sono necessariamente collegate a una valuta avente corso legale, ma che vengono utilizzate da una persona
fisica o giuridica come mezzo di scambio e che possono essere trasferite, archiviate e negoziate
elettronicamente (cfr. EBA - Opinion on Virtual Currencies del 4 luglio 2014, consultabile all’indirizzo:
http://www.eba.europa.eu/documents/10180/657547/EBA-Op-2014-08+Opinion+on+Virtual+Currencies.pdf). Si
ritiene comunque preferibile la formulazione che ne ha dato la Banca d’Italia il 30.1.2015 nell’Avvertenza
sull’utilizzo delle cosiddette “valute virtuali” (cfr: https://www.bancaditalia.it/compiti/vigilanza/avvisi-
pub/avvertenza-valute-virtuali/AVVERTENZA_VALUTE_VIRTUALI.pdf), che ha definito le valute virtuali
come “rappresentazioni digitali di valore, utilizzate come mezzo di scambio o detenute a scopo di investimento, che
possono essere trasferite, archiviate e negoziate elettronicamente”, in quanto il riferimento alla finalità di
investimento appare più aderente alla realtà ed all’utilizzo corrente di molte delle valute virtuali in
circolazione, specie del Bitcoin.
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
3
Tra le novità più rilevanti, c’è l’esplicita previsione, tra i soggetti destinatari degli
obblighi antiriciclaggio, della categoria degli altri operatori non finanziari.2 In tale
categoria, in virtù del nuovo art. 3, comma 5, lett. i) del Decreto, rientrano ora
anche i Prestatori di Servizi relativi all'utilizzo di Valuta Virtuale, limitatamente allo
svolgimento dell'attività di conversione di Valute Virtuali da ovvero in valute
aventi corso forzoso.3
1. Nuovi obblighi per i Prestatori dei Servizi di conversione di
Valuta Virtuale
1.1. Obblighi generali
Tra gli obblighi previsti dal Decreto di Riforma a carico dei Prestatori di Servizi
figurano sia obblighi specifici strettamente attinenti agli adempimenti
antiriciclaggio, sia obblighi di carattere più generale e di carattere fiscale.
Tra gli obblighi di carattere generale, il Decreto di Riforma, con l’art. 8 –
modificando la disciplina di cui al D.Lgs. 13 agosto 2010, n. 141 sui servizi di
pagamento – vi ha previsto l’inserimento, all’art. 17 bis, dei nuovi commi 8 e 8 bis,
nonché l’inserimento del comma 5 bis all’art. 30 ter, in virtù dei quali, ora, i
Prestatori di Servizi di conversione di Valuta Virtuale sono tenuti:
(i) ad iscriversi in una sezione speciale del registro tenuto dall’OAM
(l’Organismo competente per la gestione degli elenchi degli Agenti in
attività finanziaria e dei Mediatori creditizi);4
2 In tale categoria sono stati inclusi anche: a) i prestatori di servizi relativi a società e trust; b) i soggetti che esercitano
attività di commercio di cose antiche; c) i soggetti che esercitano l'attività di case d'asta o galleria d'arte; d) gli operatori
professionali in oro; e) gli agenti in affari che svolgono attività in mediazione immobiliare in presenza dell'iscrizione al
Registro delle imprese; f) i soggetti che esercitano l'attività di custodia e trasporto di denaro contante e di titoli o valori a
mezzo di guardie particolari giurate; g) i soggetti che esercitano attività di mediazione civile; h) i soggetti che svolgono
attività di recupero stragiudiziale dei crediti per conto di terzi.
3 Il legislatore italiano, con il Decreto di Riforma, adottato in attuazione della IV Direttiva Antiriciclaggio, ha anticipato le
linee di sviluppo del diritto europeo che, nel prevedere degli emendamenti al testo della IV Direttiva, ha consolidato, nel
dicembre del 2016, un testo di proposta di una nuova direttiva (c.d. V Direttiva Antiriciclaggio), nel quale sono confluite la
definizione di moneta virtuale, e l’inclusione, tra i soggetti obbligati, dei “providers of exchange services between virtual
currencies and fiat currencies” e dei fornitori di servizi di portafoglio digitale – i cc.dd. “wallet provider” – che offrono servizi
di custodia delle credenziali necessarie per accedere alle valute virtuali.
4 I Prestatori di Servizi di conversione di Valuta Virtuale, grazie all’inserimento dei nuovi commi 8 e 8 bis all’art. 17 bis del
D.Lgs. n. 141/2010, a seguito del Decreto di Riforma, sembrano essere stati equiparati ai cambiavalute, con non poche
implicazioni di ordine pratico. Infatti, fatto salvo il regime applicativo, ad oggi del tutto mancante, una delle conseguenze
di tale equiparazione potrebbe comportare la libertà di forma giuridica per l’esercizio dell’attività economica peri
Prestatori di Servizi, dato che i cambiavalute possono svolgere la loro attività anche senza la costituzione di una società di
capitali. Ciò deriva dal mutato regime a cui sono stati sottoposti i cambiavalute, che, nel corso degli anni, sono passati dal
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
4
(ii) a comunicare al Ministero dell’Economia l’inizio dell’operatività sul
territorio nazionale, secondo modalità e la tempistica da fissarsi con
successivo decreto;
(iii) ad aderire al sistema pubblico anti-frode sulle carte presso il Ministero
dell’Economia.
1.2. Obblighi di carattere fiscale
Il Decreto di Riforma ha apportato modifiche anche alla disciplina sul
monitoraggio fiscale (ex Decreto Legge n.167/1990, convertito in Legge 4
agosto 1990, n. 227).
Al riguardo, le modifiche in vigore dal 4 luglio 2017, sono contenute nell’art. 8,
comma 7 del Decreto di Riforma ed obbligano il Prestatore di Servizi a
comunicare all’Agenzia delle Entrate i dati analitici delle le operazioni da e
verso l’estero di importo pari o superiore a 15.000 euro, costituenti un’unica
operazione o più operazioni che appaiano collegate per realizzare
un’operazione frazionata, effettuate anche in Valuta Virtuale.
Pertanto, il Prestatore di Servizi ha l’obbligo di comunicare i trasferimenti, pari o
superiori a 15.000 euro, eseguiti anche per conto di soggetti non residenti, alla
sola condizione che il flusso provenga o sia destinato all’estero.
1.3. Obblighi specifici
Il Decreto di Riforma ha esteso ai Prestatori dei Servizi le prescrizioni in tema di
antiriciclaggio.
contesto della normativa valutaria a quello degli intermediari finanziari, e da questo ad un nuovo e diverso perimetro di
regolamentazione a seguito della riforma strutturale del credito avvenuta a partire dal 2010, (cfr D.Lgs. n. 141/2010).
Attualmente, il mestiere del cambiavalute risulta liberalizzato, seppure non del tutto svincolato dagli obblighi di legge
tanto per l’esercizio dell’attività, quanto per l’osservanza di taluni accorgimenti, ad esempio, in tema di rapporti con il
pubblico, atteso che i cambiavalute sono tenuti ad osservare gli obblighi di trasparenza bancaria nei loro contratti con la
clientela. Tale nuovo regime, dal punto di vista dei requisiti soggettivi, sembra imporre, dal punto di vista generale, il solo
obbligo di iscrizione all’elenco tenuto dall’OAM, nonché – stante il riferimento nelle disposizioni transitorie e finali del
D.Lgs. n. 141/2010 (come integrato dal D.Lgs. 19.9.2012 n. 169) agli articoli 11 e 115 T.u.l.p.s. (Testo Unico delle Leggi di
Pubblica Sicurezza), l’obbligo di esercitare l’attività di cambiavalute solo dietro il rilascio di una licenza di commercio da
parte del Questore. Ma a tale ultimo proposito, si segnala che la Circolare del Ministero dell’Interno del maggio del 2015
(https://www.indicenormativa.it/sites/default/files/circolare%20Ministero%20dell%27Interno%20cambiavalute%20115TUL
PS.PDF) ha escluso l’obbligo di richiedere la licenza per intraprendere l’attività di cambiavalute, potendosi dar luogo ad
una semplice comunicazione.
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
5
Tali soggetti - ancorché non vi siano ancora le nuove disposizioni e siano
applicabili, fino al 31 marzo del 2018,5 le norme di secondo livello già in vigore -
a partire dal 4 luglio del 2017, sono tenuti ad osservare:
- l’obbligo di identificazione del cliente e del c.d. titolare effettivo;
- l’obbligo di adeguata verifica del cliente e del titolare effettivo;
- l’obbligo di conservazione dei dati relativi al cliente e all’operazione;
- l’obbligo di astenersi dall’effettuare l’operazione in presenza di
impossibilità di effettuare l’adeguata verifica del cliente o del titolare
effettivo;
- l’obbligo segnalazione all’Unità di Informazione Finanziaria (UIF) presso la
Banca di Italia, in caso di operazioni sospette (c.d. SOS);
- l’obbligo di formazione del personale e dei collaboratori;
- l’obbligo di segnalare al Ministero dell’Economia i trasferimenti di denaro
contante effettuati a qualsiasi titolo per importi pari o superiori a € 3.000;
- l’obbligo di adottare presidi e procedure interne, al fine di mitigare e
gestire i rischi di riciclaggio e di finanziamento del terrorismo.
1.4. Sintesi degli obblighi a carico del Prestatore dei Servizi e regime di
esecuzione
Quasi tutti gli obblighi sopra menzionati, tranne quelli di carattere generale,
afferenti ai requisiti soggettivi del Prestatore di Servizi per lo svolgimento
dell’attività, sono eseguibili anche mediante il ricorso alle prestazioni di un
soggetto terzo attraverso la stipula di un apposito contratto di appalto di servizi
e/o di esternalizzazione, c.d. outsourcing.6
Di seguito, si elencano schematicamente tutti i predetti obblighi con la
marcatura in rosso di quelli non delegabili ad altri soggetti.
Obblighi generali Obblighi antiriciclaggio Obblighi monitoraggio
fiscale
iscrizione in una sezione
speciale del registro tenuto
dall’OAM
identificazione del cliente e
titolare effettivo
adeguata verifica del cliente e
del titolare effettivo
conservazione dei dati relativi al
cliente e all’operazione
trasmissione all'Agenzia delle
Entrate i dati assunti durante
l’adeguata verifica per
operazioni di trasferimento da e
verso l’estero di importo pari o
5 Ai sensi dell’art. 9, comma 1, del Decreto di Riforma, “Le disposizioni emanate dalle autorità di vigilanza di settore, ai sensi di
norme abrogate o sostituite per effetto del presente decreto, continuano a trovare applicazione fino al 31 marzo 2018”.
6 Con tali contratti le imprese riescono ad affidarsi a un soggetto esterno delegandogli il compito di occuparsi di un
servizio o di un processo produttivo.
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
6
comunicazione al Ministero
dell’Economia dell’inizio
dell’operatività secondo
modalità e tempistica da fissarsi
con successivo decreto
adesione al sistema pubblico
anti-frode sulle carte, istituito
presso il Ministero
dell’Economia
astensione dall’operazione in
presenza di impossibilità di
adeguata verifica
segnalazione all’UIF, in caso di
operazioni sospette
formazione del personale e dei
collaboratori segnalazione al Ministero
dell’Economia dei trasferimenti di
denaro contante per importi pari o
superiori a € 3.000 adozione di presidi e procedure
interne, al fine di mitigare e gestire
i rischi di riciclaggio e di
finanziamento del terrorismo.
uguale ad € 15.000 effettuato
anche in valuta virtuale
evidenza delle operazioni
intercorse con l'estero anche
per masse di contribuenti e con
riferimento ad uno specifico
periodo temporale
indicano, con riferimento a
specifiche operazioni con
l'estero o rapporti ad esse
collegate, l'identità dei titolari
effettivi
2. Obbligo di adeguata verifica
Il contenuto dell’obbligo di adeguata verifica è disciplinato dagli artt. 17, 18 e 19
del Decreto. Tali disposizioni prescrivono di: (i) identificare il cliente e verificarne
l'identità sulla base di documenti, dati o informazioni ottenuti da una fonte
affidabile e indipendente; (ii) identificare l'eventuale titolare effettivo,7 e
verificarne l'identità; (iii) ottenere informazioni sullo scopo e sulla natura del
rapporto continuativo o della prestazione professionale; e (iv) svolgere un
controllo costante nel corso del rapporto.
Il Prestatore di Servizi deve fare l’adeguata verifica:
a) in occasione dell'instaurazione di un rapporto continuativo;8
b) all'esecuzione di un'operazione occasionale che comporti la trasmissione o
la movimentazione di mezzi di pagamento di importo pari o superiore a 15.000
euro, indipendentemente dal fatto che sia effettuata con una operazione
unica o con più operazioni che appaiono collegate per realizzare
un'operazione frazionata;
ovvero, in ogni caso, al di là del limite suddetto:
7 Secondo la normativa, il titolare effettivo è la persona fisica per conto della quale è realizzata un'operazione o un'attività,
ovvero, nel caso di entità giuridica, la persona o le persone fisiche che, in ultima istanza, possiedono o controllano tale
entità, ovvero ne risultano beneficiari.
8 La definizione di “rapporto continuativo” è contenuta nel Provvedimento ADV che richiama anche, per maggiore
dettaglio, l’art. 3 del Provvedimento AUI. Il rapporto continuativo è un rapporto contrattuale di durata rientrante
nell’esercizio dell’attività istituzionale dei soggetti obbligati, che possa dare luogo a più operazioni di trasferimento o
movimentazione di mezzi di pagamento e che non si esaurisce in una sola operazione; di talché, data l’operatività di un
Prestatore di Servizi di conversione di Valuta Virtuale – generalmente offerta agli utilizzatori attraverso piattaforme
Internet che comportano l’apertura e la registrazione di account – ogni registrazione di un utente corrisponde all’apertura
di un rapporto potenzialmente di durata.
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
7
c) quando vi è sospetto di riciclaggio o di finanziamento del terrorismo,
indipendentemente da qualsiasi deroga, esenzione o soglia applicabile; e
d) quando vi sono dubbi sulla veridicità o sull'adeguatezza dei dati ottenuti
precedentemente ai fini dell'identificazione.
Sul dettaglio dello svolgimento dell’adeguata verifica ordinaria, semplificata e
rafforzata, nonché dell’astensione dal compimento delle operazioni, si rimanda
al Provvedimento ADV in attesa della promulgazione di una nuova disciplina
regolatoria.9
2.1. Modalità esecutive dell’adeguata verifica attraverso un terzo
Gli obblighi di adeguata verifica a carico dei Prestatori di Servizio (e degli altri
soggetti obbligati), ai sensi dell’art. 26 del Decreto, possono essere eseguiti
ricorrendo a terzi.
Il ricorso alle prestazioni di un terzo può avvenire, alternativamente, attraverso
l’utilizzo dell’adeguata verifica già svolta da parte di altri soggetti qualificati (art.
da 26 a 29 del Decreto), o attraverso l’esternalizzazione (art. 30 del Decreto).
Nel primo caso, si considerano per legge terzi qualificati al compimento degli
obblighi per conto del Prestatori di Servizi gli intermediari bancari e finanziari
qualificati, tra cui rientrano anche gli istituti di pagamento o gli istituti di moneta
elettronica.
In tale ipotesi, però, il ricorso alle prestazioni del terzo, ai sensi dell’art. 26 del
Decreto e del Provvedimento ADV, non riguarda tutte le fasi dell’adeguata
verifica, perché debbono restare in capo al soggetto obbligato, comunque
responsabile, il controllo costante dell’operatività del cliente, nonché la verifica
delle informazioni e dei documenti resi disponibili dall’intermediario terzo. Infatti,
potendosi assolvere gli obblighi di adeguata verifica, “previo rilascio di idonea
attestazione da parte del terzo che abbia provveduto ad adempiervi
9 Data la complessità delle operazioni effettuate dal Prestatore di Servizi attraverso l’utilizzo di Valuta Virtuale, si ritiene
che vi sia la presenza di più di un indice di rischiosità per come indicati dall’art. 24 del Decreto. Pertanto, pare opportuno
evidenziare che l’obbligo di adeguata verifica a cui è tenuto tale soggetto possa essere richiesto in linea di massima
attraverso l’assolvimento di modalità rafforzate. Infatti, l’operatività concreta di un Prestatore di Servizi è quasi sempre
un’operatività a distanza (prevista dal Provvedimento ADV quale principale fattore di rischio), che richiede una specifica
attenzione - in considerazione dell’assenza di un contatto diretto sia con il cliente che con i soggetti eventualmente
incaricati -, ed implica quasi sempre la presenza di diversi fattori di rischio come, ad esempio, l’utilizzo di prodotti e il
compimento di operazioni che possono favorire l’anonimato (art. 24, comma 2, lett. b, n. 2, Decreto), ovvero di “prodotti e
pratiche commerciali di nuova generazione, compresi i meccanismi innovativi di distribuzione e l'uso di tecnologie innovative” (art.
24, comma 2, lett. b, n. 5 Decreto).
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
8
direttamente”,10 il Prestatore di Servizi, ai sensi dell’art. 28 del Decreto, deve
comunque:
1) valutare se gli elementi raccolti e le verifiche effettuate dai soggetti terzi
siano idonei e sufficienti ai fini dell’assolvimento degli obblighi previsti dalla
legge; e
2) verificare, nei limiti della diligenza professionale, la veridicità dei
documenti ricevuti, e, in caso di dubbio sull'identità del cliente,
dell'esecutore e del titolare effettivo, provvedere, in proprio a compierne
l'identificazione e ad adempiere, in via diretta, agli obblighi di adeguata
verifica.11
Tali limitazioni, ai sensi dell’art. 30 del Decreto, non sono applicabili nel caso in
cui il regime esecutivo degli obblighi avvenga tramite esternalizzazione, sulla cui
base possono essere contrattualmente terziarizzate e delegate tutte le fasi
dell’adeguata verifica ad un soggetto diverso dal Prestatore di Servizi.
In caso di outsourcing, come chiarito dalla Comunicazione di Banca d’Italia del
30 marzo 2012: "Esternalizzazione degli adempimenti antiriciclaggio: obblighi per
gli operatori", il terzo delegato deve essere dotato di idonei requisiti tecnici e
professionali la cui permanenza va periodicamente verificata dal soggetto
obbligato.
Inoltre, i soggetti obbligati, anche in caso di esternalizzazione debbono
mantenere la conoscenza e il controllo sull’operatività e sul processo
esternalizzato di cui conservano la piena responsabilità.12 Il che implica - come
10 L’attestazione, secondo il Provvedimento ADV ancora in vigore sino al 31 marzo del 2018, deve confermare il corretto
adempimento degli obblighi antiriciclaggio da parte del terzo attestante, in relazione alle varie attività effettuate. Il
contenuto dell’attestazione può variare a seconda dello specifico obbligo di adeguata verifica cui essa è diretta; in base a
tale criterio, essa deve contenere: a) i dati identificativi del cliente, dell’esecutore e del titolare effettivo ai fini
dell’adempimento dell’obbligo di identificazione; b) l’indicazione delle tipologie delle fonti utilizzate per l’accertamento e
per la verifica dell’identità; c) le informazioni sulla natura e sullo scopo del rapporto da aprire e dell’operazione
occasionale da eseguire ai fini dell’adempimento del relativo obbligo.
11 Inoltre, secondo il Provvedimento ADV ancora in vigore fino al 31 marzo 2018, nell’ambito delle modalità di raccolta e
scambio delle informazioni con i terzi, l’intermediario responsabile deve: definire le fasi dell’adeguata verifica demandate
ai terzi, individuare i dati e le informazioni che è necessario siano trasmesse dai terzi e le modalità e la tempistica della
trasmissione; predisporre strumenti, in formato cartaceo o elettronico, per lo scambio tempestivo dei flussi informativi;
verificare, nei limiti della diligenza professionale, la veridicità dei documenti ricevuti e la correttezza e attendibilità delle
informazioni desunte dagli stessi; acquisire, ove necessario, informazioni supplementari, dai terzi stessi, dal cliente ovvero
da altre fonti.
12 In conformità con il Provvedimento per l’Organizzazione Interna ancora in vigore fino al 31 marzo 2018, tra i presidi
interni che il soggetto obbligato deve realizzare, in caso di terziarizzazione, vi è l’individuazione di referente interno che
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
9
precisato nella predetta Comunicazione - la chiara e appropriata definizione, in
sede contrattuale tra il Prestatore di Servizi ed il soggetto terzo: (i) dei servizi
esternalizzati; (ii) delle modalità di svolgimento; (iii) degli standard di qualità; (iv)
dei livelli di servizio assicurati in caso di emergenza nonché delle soluzioni da
adottare per garantire la continuità del servizio reso; (v) degli obblighi a carico
dell’outsourcer per assicurare una ordinata transizione nei casi di conclusione
del rapporto; (vi) del monitoraggio dell’operato dell’outsourcer; (vii)
dell’adozione di interventi adeguati in caso di livelli insoddisfacenti delle
prestazioni rese, ivi compresa l’applicazione di misure pecuniarie (es. penali) e la
risoluzione del rapporto con l’outsourcer e(viii) delle conseguenze in caso di
inadempimento.
3. Obblighi di conservazione
Tra le novità del Decreto di Riforma, una di particolare rilievo riguarda la
cancellazione dell’obbligo di registrazione dei dati successiva all’adeguata
verifica della clientela; e, quindi, l’abolizione dell’obbligo di tenuta dell’archivio
unico antiriciclaggio (c.d. AUI).
Dal 4 luglio 2017, infatti, in linea generale, è sufficiente una semplice
conservazione dei dati e dei documenti acquisiti durante l’adeguata verifica,
sia in formato cartaceo che informatico.
Tuttavia, se a livello formale risulta tale abolizione, a ben vedere, anche a
seguito delle nuove norme, l’adozione e l’utilizzo di un archivio informatico a
supporto delle attività e procedure antiriciclaggio sono ancora esigibili, almeno
sul piano strettamente pratico.
Gli artt. da 31 a 34 del Decreto prevede una serie complessa di obblighi che, da
un punto di vista pratico, non possono essere assolti senza l’ausilio di un archivio
informatico, posto che sono stabiliti:
- l’obbligo di conservazione delle informazioni per un minimo di 10 anni;
- l’obbligo di indicare: (i) la data di instaurazione del rapporto continuativo
o del conferimento dell'incarico; (ii) i dati identificativi del cliente, del
titolare effettivo e dell'esecutore e le informazioni sullo scopo e la natura
del rapporto o della prestazione; (iii) la data, l'importo e la causale
dell'operazione; (iv) i mezzi di pagamento utilizzati;
operi in stretto coordinamento funzionale con l’outsourcer, verificando le modalità di svolgimento del servizio
esternalizzato.
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
10
- l’obbligo di rendere noti i soggetti legittimati ad alimentare il sistema di
conservazione e accedere ai dati e alle informazioni ivi conservati;
- l’obbligo di assicurare: (i) l'accessibilità completa e tempestiva ai dati e
alle informazioni da parte delle Autorità; (ii) la tempestiva acquisizione, da
parte del soggetto obbligato, dei documenti, dei dati e delle informazioni,
con indicazione della relativa data (entro 30 giorni decorrenti:
dall'instaurazione del rapporto continuativo o dal conferimento
dell'incarico; dall'esecuzione dell'operazione o della prestazione
professionale; dalla variazione e dalla chiusura del rapporto continuativo o
della prestazione professionale); (iii) l'integrità dei dati e delle informazioni
e la non alterabilità dei medesimi successivamente alla loro acquisizione;
(iv) la trasparenza, la completezza e la chiarezza dei dati e delle
informazioni nonché il mantenimento della storicità dei medesimi;
- l’obbligo di trasmissione dei dati aggregati, c.d. SARA (previsto solo per
banche e operatori finanziari).
Inoltre, se è vero che è stato formalmente eliminato l’obbligo di tenuta dell’AUI,
tuttavia, da un lato, sono state inasprite le sanzioni,13 e, dall’altro, risultano
identici, rispetto al passato, sia gli obblighi antiriciclaggio con riguardo al
contenuto delle informazioni da acquisire o trasmettere, sia le finalità della
conservazione dei dati, atteso che i destinatari devono comunque assicurare:
1. l’ordine cronologico delle registrazioni;
2. l’inalterabilità delle registrazioni;
3. l’acquisizione di informazioni relative al cliente, al titolare effettivo, alla
prestazione professionale resa;
4. la conservazione dei dati registrati;
5. la comunicazione delle informazioni e dei dati aggregati (solo per
banche e intermediari finanziari).
Pertanto, non è coerente, né concretamente ipotizzabile che l’abolizione di un
obbligo formale come la tenuta di un registro informatico e il suo popolamento
con i dati e delle informazioni della clientela possa attuarsi dal punto di vista
pratico, poiché esso rappresenta un presidio sostanziale ed uno strumento
operativo necessario.
13 Il nuovo testo dell’articolo 57 del Decreto prevede che la violazione di tali norme comporti una sanzione amministrativa
pecuniaria pari a € 2.000 mentre, nel caso di violazioni gravi, ripetute o sistematiche ovvero plurime, la sanzione
amministrativa pecuniaria può arrivare fino a € 50.000.
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
11
3.1. Modalità esecutive degli obblighi di conservazione attraverso un terzo
Ai sensi dell’art. 32, comma 3, del Decreto, i soggetti obbligati possono avvalersi,
per la conservazione dei documenti, dei dati e delle informazioni, di un
autonomo centro di servizi, purché sia assicurato loro “l’accesso diretto e
immediato all’archivio stesso e ferme restando le responsabilità previste dalla
legge” (Provvedimento AUI, art. 12, comma 2).14
Inoltre, nel caso in cui gli obblighi di registrazione, comunque sempre
concretamente applicabili, e gli obblighi di conservazione vengano adempiuti
attraverso un mandato verso un soggetto terzo, diverso da un centro servizi,
l’incarico conferito ad altro destinatario, come stabilito dal Provvedimento AUI
all’art. 12, comma 2, deve essere svolto in modo che sia “assicurata l’unità
logica dell’archivio, la sua separatezza da altri archivi tenuti dal medesimo
soggetto, anche avvalendosi dei medesimi supporti hardware”.
Infine, poiché nell’assolvimento degli obblighi di conservazione dei documenti,
dei dati e delle informazioni occorre garantire il rispetto delle norme dettate dal
codice in materia di protezione dei dati personali, nonché il trattamento dei
medesimi esclusivamente per le finalità relative all’antiriciclaggio, in caso di
ricorso alle prestazioni di un terzo per gli adempimenti AUI, occorre individuare il
ruolo assunto da tale soggetto rispetto al trattamento dei dati personali dei
clienti del Prestatore di Servizi.
Al riguardo il parere dell’Autorità garante per la protezione dei dati personali,
reso con provvedimento n. 125 del 9.3.2017,15 chiarisce (al par. 5.2.) che il terzo
delegato al compimento degli obblighi AUI sia “preventivamente designato
quale responsabile del trattamento” ai sensi dell'art. 29 del codice privacy che
individua la figura del c.d. responsabile esterno del trattamento.
Tutti i predetti elementi che debbono caratterizzare il rapporto di
esternalizzazione possono e debbono confluire nel contratto di outsourcing tra il
14 E’ doveroso puntualizzare, con riferimento espresso al regime giuridico dei cambiavalute – a cui il Decreto di Riforma ha
equiparato i Prestatori dei Servizi di conversione di Valuta Virtuale prevedendone l’iscrizione in un’apposita sezione
speciale dell’elenco dei cambiavalute tenuto dall’OAM – che il Decreto del Ministero dell’Economia e delle Finanze del 2
aprile del 2015 stabilisce, all’art. 4, che l’OAM stesso ha il ruolo di autonomo centro servizi attraverso i servizi informatici
di archiviazione presenti nell’area privata del suo portale. E’ ciò in conseguenza del fatto che i cambiavalute, tenuti alla
registrazione nel sito dell’OAM ed all’iscrizione all’elenco da questo tenuto sono obbligati a trasmettere i flussi mensili di
dati relativi alle operazioni compiute. Tale obbligo, che ha carattere puramente amministrativo, per i cambiavalute può
equipararsi all’invio dei dati aggregati (c.d. flusso SARA), a cui sono tenuti gli altri intermediari finanziari nei confronti
dell’UIF.
15 Cfr http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6124534.
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
12
Prestatore di Servizi ed un soggetto terzo che, come detto relativamente agli
obblighi di adeguata verifica, deve obbligatoriamente presentare altresì i
contenuti fissati dalla Comunicazione della Banca d’Italia del 30 marzo 2012 già
innanzi menzionata ed alla quale si rinvia.
4. Obblighi di segnalazione
Ai sensi dell’art. 35 del Decreto, i soggetti obbligati sono tenuti ad inoltrare,
prima del compimento di una operazione, una segnalazione alla UIF “quando
sanno, sospettano o hanno motivi ragionevoli per sospettare che siano in corso
o che siano state compiute o tentate operazioni di riciclaggio o di
finanziamento del terrorismo”.
Inoltre, l’art. 35 del Decreto detta, al comma 1, alcuni presupposti oggettivi in
presenza dei quali scatta l’obbligo di segnalazione.16 Mentre, nello svolgimento
degli obblighi di segnalazione, ai fini dell’individuazione delle operazioni sospette
e nell'indicazione dei motivi del sospetto, deve aversi particolare riguardo al
contenuto delle: i) “Istruzioni operative per l’individuazione di operazioni
sospette”, dettate – unitamente agli indicatori di anomalia - col Provvedimento
della Banca d’Italia il 24 agosto 2010; nonché ii) a quanto stabilito dal
Provvedimento della Banca d’Italia del 4 maggio 201, recante istruzioni sui dati e
le informazioni da inserire nelle segnalazioni di operazioni sospette; entrambi in
vigore fino al 31 marzo 2018 in attesa della promulgazione di una nuova
disciplina regolatoria.
4.1. Modalità esecutive degli obblighi di segnalazione attraverso un terzo
Il vecchio art. 42 del Decreto conteneva l’indicazione del soggetto investito dei
compiti di segnalazione delle operazioni sospette. Questo era chiaramente
individuato nel legale rappresentante dell’impresa (o titolare dell’attività) ovvero
in un suo delegato.
Sulla base di tale dato normativo anteriforma, il Provvedimento per
l’Organizzazione Interna, specificando il ruolo del terzo delegato, stabilisce che
“la persona nominata delegato deve essere in possesso di adeguati requisiti di
16 Talché, è considerata "operazione" sia una singola transazione sia un insieme di transazioni che appaiano tra loro
funzionalmente ed economicamente collegate. Nel corso della normale operatività, dovranno essere oggetto di
segnalazione le operazioni che per caratteristica, entità, natura, o per qualsivoglia altra circostanza conosciuta, a ragione
delle funzioni esercitate, tenuto conto anche della capacità economica e dell’attività svolta dal soggetto cui è riferita,
inducano a ritenere, in base agli elementi a disposizione, che le utilità oggetto delle operazioni medesime possano
prevenire da attività criminosa.
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
13
indipendenza, autorevolezza e professionalità. Il delegato non deve avere
responsabilità dirette in aree operative né deve essere gerarchicamente
dipendente da soggetti di dette aree. Il ruolo e le responsabilità del delegato
ovvero del titolare dell’attività/legale rappresentante devono essere
adeguatamente formalizzati e resi pubblici all’interno della struttura. La delega
per la valutazione e la trasmissione delle segnalazioni pervenute (ex art. 42,
comma 4, D. Lgs. n. 231/2007) può essere attribuita al responsabile
antiriciclaggio. La delega non può essere conferita al responsabile della funzione
di revisione interna né a soggetti esterni all’impresa”.
Pertanto, né la valutazione delle operazioni sospette, né il compimento delle
segnalazioni all’UIF, secondo il Provvedimento per l’Organizzazione Interna in
vigore fino al 31 marzo 2018, possono essere conferite in outsourcing ad un
soggetto esterno al destinatario degli obblighi che, difatti, è tenuto alla nomina
di un responsabile aziendale delle segnalazioni.
Con il Decreto di Riforma, ora, gli obblighi di segnalazione sono contenuti negli
articoli da 35 a 41 del Decreto. Tali disposizioni utilizzano in vari contesti e a
diverse finalità l’espressione: “il titolare della competente funzione, il legale
rappresentante o altro soggetto all'uopo delegato presso i soggetti obbligati”.
Sulla base di queste indicazioni normative ed in assenza di una nuova disciplina
attuativa, è difficile confermare l’operatività tout court del vecchio
Provvedimento per l’Organizzazione Interna che vieta l’esternalizzazione sia con
riferimento alla valutazione delle operazioni sospette, sia con riferimento al
compimento delle attività di segnalazione all’UIF. D’altra parte, però, è
innegabile che l’espressione utilizzata dal Decreto di Riforma in tema di
segnalazioni, collochi la relativa disciplina direttamente all’interno dei presidi
organizzativi di mitigazione del rischio di riciclaggio, di cui si dirà in seguito,
potendosi, pertanto, ritenere tuttora operante il divieto di esternalizzazione dei
compiti di segnalazione, se non altro con riferimento all’attività di valutazione
delle operazioni sospette.
Sulla base di ciò, così come vedremo meglio in tema di presidi e organizzazione
interna, alle cui prescrizioni sono tenuti anche i Prestatori di Servizi, si ritiene che
l’assolvimento degli obblighi di segnalazione non possa essere esternalizzato, ma
possa essere fatto oggetto, quanto agli adempimenti ed alle attività meramente
materiali di supporto, di un contratto di servizi ovvero di co-sourcing a favore di
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
14
un terzo, estraneo alla compagine societaria del Prestatore di Servizi;17 fermo
restando l’obbligo di individuare un responsabile aziendale delle segnalazioni
delle operazioni sospette che, come detto, può essere il legale rappresentante
o un suo delegato interno.
5. Obblighi di mitigazione del rischio – organizzazione interna
Il principio dell’approccio basato sul rischio (risk based approach) è riproposto
anche dalla nuova disciplina ed è diretto ad identificare e valutare i rischi di
riciclaggio e finanziamento del terrorismo insiti nell’esercizio delle attività svolte
dai destinatari della normativa di settore. L’identificazione e la valutazione dei
rischi è funzionale a consentirne la mitigazione attraverso l’adempimento di
specifici obblighi organizzativi, calibrati in relazione alla minaccia specifica e
aventi lo scopo di facilitare una migliore allocazione delle risorse interne dei
soggetti obbligati verso ambiti di maggiore vulnerabilità.
Al riguardo, il Decreto di Riforma sembra prescindere dalla natura finanziaria
svolta dai soggetti obbligati; che, difatti, risultano tutti indistintamente sottoposti
a determinati obblighi organizzativi, anche allorquando la loro attività di impresa
sia estranea ai tipici aspetti dell’attività finanziaria (vedi, ad esempio, le case
d’aste, o gli antiquari, ora inclusi tra i soggetti tenuti all’osservanza dei precetti
antiriciclaggio). Segno evidente quest’ultimo, che il legislatore ha valutato ex
ante ad alto rischio non solo le attività tipicamente finanziarie ovvero le attività
professionali come è stato in passato, ma interi settori economici ritenuti
particolarmente sensibili rispetto a determinati fenomeni criminosi.18
Alla luce di ciò, l’art. 16 del Decreto stabilisce, in via generale, che: “i soggetti
obbligati adottano i presidi e attuano i controlli e le procedure, adeguati alla
propria natura e dimensione, necessari a mitigare e gestire i rischi di riciclaggio e
di finanziamento del terrorismo”. Saranno poi le Autorità di vigilanza o di
controllo a dettare le norme attuative per individuare i requisiti dimensionali e
organizzativi in base ai quali i soggetti obbligati sono tenuti ad adottare, come
stabilito dal comma 2, “specifici presidi, controlli e procedure per: a) la
valutazione e gestione del rischio di riciclaggio e di finanziamento del terrorismo;
17 Per completezza si vedano le Istruzioni per l’Accesso al Portale Infostat-Uif (http://uif.bancaditalia.it/portale-infostat-
uif/istruz_acc_portale.pdf), che prevedono le diverse tipologie di utilizzazione del portale da parte dei soggetti segnalanti
attraverso i “profili gestore” e “profili operatore”.
18 La normativa di cui al Decreto di riforma, infatti, poggia su un sistema di obblighi, rivolti ad un’ampia
platea di destinatari (intermediari finanziari, imprese non finanziarie e professionisti).
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
15
b) l'introduzione di una funzione antiriciclaggio, ivi comprese, se adeguate
rispetto alle dimensioni e alla natura dell'attività, la nomina di un responsabile
della funzione antiriciclaggio e la previsione di una funzione di revisione
indipendente per la verifica delle politiche, dei controlli e delle procedure”.
Inoltre, a prescindere dall’emanazione della normativa di attuazione, i soggetti
obbligati – come stabilito sempre dall’art. 16 del Decreto - devono adottare
“misure proporzionate ai propri rischi, alla propria natura e alle proprie
dimensioni, idonee a rendere note al proprio personale gli obblighi cui sono
tenuti ai sensi del presente decreto, ivi compresi quelli in materia di protezione
dei dati personali. A tal fine, i soggetti obbligati garantiscono lo svolgimento di
programmi permanenti di formazione, finalizzati alla corretta applicazione delle
disposizioni di cui al presente decreto, al riconoscimento di operazioni connesse
al riciclaggio o al finanziamento del terrorismo e all'adozione dei comportamenti
e delle procedure da adottare”.
Da quanto sopra deriva che, a carico dei Prestatori di Servizi, ancorché inclusi
tra gli operatori non finanziari, sussistono degli obblighi di organizzazione interna
immediatamente applicabili a partire cioè dalla entrata in vigore del Decreto di
Riforma.
Gli obblighi organizzativi di applicazione immediata a carico del Prestatore di
Servizi, come indicato dall’art. 16 del Decreto, sono:
1) l’adozione di specifici presidi interni, controlli e procedure, adeguati alla
propria natura e dimensione (comma 1);
2) l’attuazione di programmi di formazione permanente ed aggiornamento
del personale in tema di antiriciclaggio (comma 3).
A tali obblighi, per quanto detto in precedenza in tema di segnalazione delle
operazioni sospette, si aggiunge anche quello di istituire un responsabile
aziendale delle segnalazioni all’UIF che, come già innanzi precisato, potrà essere
il legale rappresentante o titolare dell’attività del Prestatore di Servizi, ovvero un
suo delegato interno.
Se l’obbligo di realizzare programmi di formazione e aggiornamento non desta
criticità né in termini di declinazione concreta, né in termini di assolvimento
attraverso l’ausilio delle prestazioni di un terzo, l’osservanza degli obblighi sub 1)
comporta più di un problema applicativo per i Prestatori dei Servizi.
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
16
La declinazione concreta degli obblighi organizzativi sub 1), stando alla lettera
dell’art. 16 del Decreto,19 infatti, rende operativo al livello di normativa primaria il
modello già esistente di cui al Provvedimento per l’Organizzazione Interna
(comunque applicabile fino al 31marzo 2018). Però, tale modello è stato
elaborato da Banca d’Italia con riferimento ad un novero di soggetti obbligati
appartenenti al settore finanziario che - per quanto formulato ad ampio spettro,
includendo cioè anche entità non direttamente vigilate, come ad esempio i
mediatori creditizi o gli agenti in attività finanziaria - risulta comunque
applicabile a soggetti che esercitano attività di impresa di natura finanziaria
Tuttavia, data la specificità dell’attività del Prestatore di Servizi e l’imposizione,
per effetto del Decreto di Riforma, dell’obbligo generale di iscriversi alla sezione
speciale dell’elenco dei cambiavalute tenuto e controllato da OAM – l’autorità
che tiene anche gli elenchi dei mediatori creditizi e degli agenti in attività
finanziaria –, non è difficile ipotizzare l’estensione del modello “finanziario” dei
presidi antiriciclaggio anche per lo svolgimento dei servizi di conversione di
Valuta Virtuale, anche se è opportuno attendere i successivi sviluppi della
normativa d’attuazione prima di dare assolvimento in maniera completa a
quanto previsto dal Decreto in tema di organizzazione interna e governance.
5.1. Dettaglio degli obblighi organizzativi
Nel dettaglio gli obblighi di organizzazione a mitigazione del rischio di riciclaggio
e finanziamento del terrorismo stabiliti dal comma 2 dell’art. 16 del Decreto, si
identificano nella necessità di attuare, all’interno della propria organizzazione,
presidi, controlli e procedure finalizzate a:
a) la valutazione e gestione del rischio di riciclaggio e di finanziamento del
terrorismo;
b) l'introduzione di una funzione antiriciclaggio, ivi comprese, se adeguate
rispetto alle dimensioni e alla natura dell'attività, la nomina di un responsabile
della funzione antiriciclaggio e la previsione di una funzione di revisione
indipendente per la verifica delle politiche, dei controlli e delle procedure:
19 Ci si riferisce all’obbligo di adottare “specifici presidi, controlli e procedure per: a) la valutazione e gestione del rischio di
riciclaggio e di finanziamento del terrorismo; b) l'introduzione di una funzione antiriciclaggio, ivi comprese, se adeguate rispetto alle
dimensioni e alla natura dell'attività, la nomina di un responsabile della funzione antiriciclaggio e la previsione di una funzione di
revisione indipendente per la verifica delle politiche, dei controlli e delle procedure”, introdotto dal comma 2 dell’art. 16 del
Decreto.
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
17
Quanto agli adempimenti sub a), essi si sostanziano nella previsione di
procedure interne che comportino una graduazione degli obblighi di adeguata
verifica della clientela in funzione del rischio. Ci si riferisce, in particolare,
all’obbligo di procedere in via preventiva alla profilatura del rischio, compito
rimesso alla libera valutazione del soggetto obbligato, che deve comunque
adottare misure idonee a valutare il rischio di riciclaggio o di finanziamento del
terrorismo per singolo rapporto continuativo ed operazione, seguendo i criteri
oggettivi e soggettivi delineati dall’art. 17 del Decreto e delle disposizioni
attuative ancora in vigore.
Quanto agli obblighi sub b), come indicato nel Provvedimento per
l’Organizzazione Interna, e fermo restando il principio di proporzionalità coerente
con la forma giuridica, le dimensioni, l’articolazione organizzativa, le
caratteristiche e la complessità dell’attività svolta dal soggetto obbligato,
vengono in rilievo i “requisiti minimali” ivi stabiliti che impongono i seguenti
adempimenti:
➢ deve essere prevista la funzione antiriciclaggio e nominato il relativo
responsabile; è ammessa l’esternalizzazione e l’attribuzione della
responsabilità della funzione ad un amministratore, che, salvo il caso
dell’amministratore unico, deve essere privo di deleghe operative;
➢ ove l’unità di revisione interna non sia istituita, i relativi compiti possono
essere assegnati ad un amministratore, che, salvo il caso
dell’amministratore unico, deve essere privo di deleghe operative;
➢ deve essere formalizzata l’attribuzione della responsabilità per la
segnalazione delle operazioni sospette.
Sulla base di ciò, il Prestatore di Servizi deve:
1) istituire al proprio interno la funzione antiriciclaggio;20
2) nominare il responsabile della funzione antiriciclaggio;21
20 Come stabilito dal Provvedimento per l’Organizzazione Interna, la funzione aziendale antiriciclaggio deve essere
indipendente e dotata di risorse qualitativamente e quantitativamente adeguate ai compiti da svolgere, riferisce
direttamente agli organi di vertice ed ha accesso a tutte le attività dell’impresa nonché a qualsiasi informazione rilevante
per lo svolgimento dei propri compiti. Il personale addetto alla funzione deve, inoltre, essere adeguato per numero,
competenze tecnico–professionali e aggiornamento, anche attraverso l’inserimento in programmi di formazione continua.
21 Come stabilito dal Provvedimento per l’Organizzazione Interna, il responsabile della funzione antiriciclaggio deve essere
in possesso di adeguati requisiti di indipendenza, autorevolezza e professionalità, esercita funzioni aziendali di controllo
ed è nominato o revocato dall’organo di gestione. La persona incaricata della funzione non deve avere responsabilità
dirette di aree operative né deve essere gerarchicamente dipendente da soggetti responsabili di dette aree. Qualora
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
18
3) nominare il responsabile delle segnalazioni delle operazioni sospette.
6. Esternalizzazione degli obblighi organizzativi
Secondo quanto previsto dal Provvedimento per l’Organizzazione Interna,
tranne che per la nomina del delegato aziendale delle segnalazioni delle
operazioni sospette su cui si è già ampiamente detto in precedenza, lo
svolgimento della funzione antiriciclaggio può essere affidato a soggetti esterni
con idonei requisiti in termini di professionalità, autorevolezza e indipendenza.
Nell’ipotesi si addivenga ad un contratto di outsourcing tra il Prestatore di Servizi
ed un terzo, la responsabilità per la corretta gestione dei rischi in discorso resta,
in ogni caso, in capo all’impresa destinataria degli obblighi.
Quanto ai contenuti del contratto di outsourcing, il Provvedimento per
l’Organizzazione Interna prescrive che l’esternalizzazione deve essere comunque
formalizzata in un accordo scritto che definisca quanto meno:
- la compiuta indicazione degli obiettivi da perseguire;
- la frequenza minima dei flussi informativi nei confronti del referente interno e
degli organi di vertice e di controllo aziendali, fermo restando l’obbligo di
corrispondere tempestivamente a qualsiasi richiesta di informazioni e di
consulenza;
- gli obblighi di riservatezza delle informazioni acquisite nell’esercizio della
funzione;
- la possibilità di rivedere le condizioni del servizio al verificarsi di modifiche
normative o nell’operatività e nell’organizzazione dell’impresa
esternalizzante;
- la possibilità per le Autorità di Vigilanza e la UIF di accedere alle
informazioni utili per l’attività di supervisione e controllo.
Inoltre, anche in caso di esternalizzazione, l’impresa deve comunque nominare
un responsabile interno alla funzione antiriciclaggio (referente interno), con il
compito di monitorare le modalità di svolgimento del servizio da parte
dell’outsourcer. L’impresa dovrà inoltre adottare le cautele che sul piano
giustificato dalle ridotte dimensioni dell’impresa, la responsabilità della funzione può essere attribuita ad un
amministratore, purché privo di deleghe gestionali.
Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale
• • •
19
organizzativo sono necessarie a garantire il mantenimento dei poteri di indirizzo
e controllo da parte degli organi aziendali sulla funzione esternalizzata.
Tutti i predetti elementi che debbono caratterizzare il rapporto di
esternalizzazione possono e debbono confluire nel contratto di outsourcing tra il
Prestatore di Servizi ed un soggetto terzo che, come detto relativamente agli
obblighi di adeguata verifica e di conservazione, deve obbligatoriamente
presentare altresì i contenuti fissati dalla Comunicazione della Banca d’Italia del
30 marzo 2012 già innanzi menzionata, ed alla quale si rinvia per completezza.