CONSOB – Delibera 04 settembre 2018, n. 20570
Adozione del regolamento recante disposizioni di attuazione del decreto legislativo 21 novembre 2007, n. 231 e successive modifiche ed integrazioni per i revisori legali e le società di revisione con incarichi di revisione su enti di interesse pubblico o su enti sottoposti a regime intermedio
Art. 1
Adozione del regolamento recante disposizioni di attuazione del decreto legislativo 21 novembre 2007, n. 231
1. E’ adottato l’annesso «Regolamento recante disposizioni di attuazione del decreto legislativo 21 novembre 2007, n. 231 e successive modifiche ed integrazioni per i revisori legali e le società di revisione con incarichi di revisione su enti di interesse pubblico o su enti sottoposti a regime intermedio».
2. La presente delibera è pubblicata, unitamente all’annesso regolamento, nella Gazzetta Ufficiale della Repubblica italiana.
Art. 2
Abrogazioni
1. Il «Regolamento recante disposizioni di attuazione del decreto legislativo 21 novembre 2007, n. 231 e successive modifiche ed integrazioni, in materia di organizzazione, procedure e controlli interni dei revisori legali e delle società di revisione con incarichi di revisione su enti di interesse pubblico o su enti sottoposti a regime intermedio, a fini di prevenzione e contrasto dell’uso del sistema economico e finanziario a scopo di riciclaggio e finanziamento del terrorismo», adottato dalla Consob con delibera n. 20465 del 31 maggio 2018, è abrogato.
2. Il «Provvedimento recante disposizioni attuative in materia di adeguata verifica della clientela da parte dei revisori legali e delle società di revisione con incarichi di revisione su enti di interesse pubblico, ai sensi dell’art. 7, comma 2, del decreto legislativo 21 novembre 2007, n. 231», adottato dalla Consob con delibera n. 18802 del 18 febbraio 2014, è abrogato.
Art. 3
Disposizioni transitorie e finali
1. Le disposizioni di cui al titolo I e al titolo II dell’annesso regolamento entrano in vigore dalla data di pubblicazione della presente delibera nella Gazzetta Ufficiale della Repubblica Italiana.
2. Ai fini dell’art. 6, comma 4, del regolamento, la prima autovalutazione dei rischi dovrà essere inviata alla Consob:
– entro il 15 gennaio 2019, dalle società di revisione che hanno chiuso o chiuderanno l’ultimo bilancio di esercizio tra il 1° gennaio 2018 e il 30 giugno 2018;
– entro 6 mesi dalla data di chiusura dell’esercizio, dalle società di revisione che chiuderanno il bilancio di esercizio dopo il 30 giugno 2018 e fino al 31 dicembre 2018.
3. Le disposizioni di cui al titolo III del regolamento entrano in vigore dal 1° gennaio 2019. Esse si applicano anche ai rapporti in essere a tale data, pur se instaurati prima dell’entrata in vigore del decreto legislativo 21 novembre 2007, n. 231 e successive modificazioni.
4. Fino alla data del 31 dicembre 2018 i revisori applicano gli obblighi di adeguata verifica e di conservazione previsti dal titolo II, capi I e II, del decreto legislativo 21 novembre 2007, n. 231 e successive modificazioni e possono continuare ad utilizzare gli archivi informatizzati già istituiti in conformità al Provvedimento della Banca d’Italia del 3 aprile 2013.
Allegato
Regolamento recante disposizioni di attuazione del decreto legislativo 21 novembre 2007, n. 231 e successive modifiche ed integrazioni per i revisori legali e le società di revisione con incarichi di revisione su enti di interesse pubblico o su enti sottoposti a regime intermedio.
Titolo I – FONTI NORMATIVE E DESTINATARI DELLE DISPOSIZIONI
Art. 1. Fonti normative
1. Le presenti disposizioni sono adottate dalla Consob ai sensi dell’art. 7, comma 1, lettera a), e degli articoli 23, comma 3, 24, comma 4 e 34, comma 3, del decreto legislativo 21 novembre 2007, n. 231 e successive modifiche ed integrazioni.
Art. 2. Destinatari delle disposizioni
1. Le presenti disposizioni sono rivolte ai revisori legali ed alle società di revisione legale con incarichi di revisione legale su enti di interesse pubblico o su enti sottoposti a regime intermedio.
Art. 3. Definizioni
1. Ferme restando le definizioni di cui all’art. 1 del decreto legislativo 21 novembre 2007, n. 231, nel presente regolamento si intendono per:
a) «attività professionale»: la revisione legale come definita dalla normativa vigente in materia, ovvero qualsiasi altra prestazione professionale resa dai revisori;
b) «decreto antiriciclaggio»: il decreto legislativo 21 novembre 2007, n. 231, come modificato dal decreto legislativo 25 maggio 2017, n. 90;
c) «enti di interesse pubblico»: le società individuate ai sensi dell’art. 16 del decreto legislativo 27 gennaio 2010, n. 39;
d) «enti sottoposti a regime intermedio»: le società individuate ai sensi dell’art. 19-bis del decreto legislativo 27 gennaio 2010, n. 39;
e) «finanziamento del terrorismo»: le condotte previste dall’art. 1, comma 1, lettera d), del decreto legislativo 22 giugno 2007, n. 109;
f) «MoneyVal»: Comitato costituito in seno al Consiglio d’europa, che agisce nella veste di organismo regionale del GAFI per l’area euro-asiatica;
g) «organo con funzioni di amministrazione»:
1. il Consiglio di amministrazione (per le società per azioni che abbiano adottato il modello tradizionale o monistico di governo societario e, ove presente, per le società a responsabilità limitata);
2. il consiglio di gestione (per le società per azioni che abbiano adottato il modello dualistico di governo societario);
3. i soci amministratori con delega gestionale (per le società semplici, le società in nome collettivo e le società a responsabilità limitata in cui sia presente una pluralità di amministratori con poteri disgiunti, nei limiti delle deleghe eventualmente agli stessi conferite con riferimento ai compiti elencati all’art. 7 del regolamento);
4. i soci accomandatari (per le società in accomandita semplice e le società in accomandita per azioni);
5. gli altri organi aziendali con funzioni di amministrazione, quali comitati esecutivi e/o amministratori delegati, nei limiti delle deleghe eventualmente agli stessi conferite con riferimento ai compiti elencati all’art. 7 del regolamento;
h) «organo con funzioni di controllo»:
1. il collegio sindacale (per le società per azioni che abbiano adottato il modello tradizionale di governo societario ed eventualmente per le società a responsabilità limitata);
2. il consiglio di sorveglianza (per le società per azioni che abbiano adottato il modello dualistico di governo societario);
3. il comitato per il controllo sulla gestione (per le società per azioni che abbiano adottato il modello monistico di governo societario);
4. i soci amministratori purché privi di deleghe gestionali suscettibili di minarne l’indipendenza nello svolgimento della funzione di controllo (per le società semplici, le società in nome collettivo e le società a responsabilità limitata prive di collegio sindacale);
5. i soci accomandanti (per le società in accomandita semplice e le società in accomandita per azioni);
i) «Paesi comunitari»: paesi appartenenti allo Spazio economico europeo;
l) «Paesi terzi»: paesi non appartenenti allo Spazio economico europeo;
m) «quarta direttiva antiriciclaggio»: la direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio, del 20 maggio 2015, relativa alla prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo;
n) «Rete»: la struttura di cui all’art. 1, comma 1, lett. l), del decreto legislativo 27 gennaio 2010, n. 39;
o) «Revisori»: i «revisori legali» e le «società di revisione», come definiti nel presente articolo;
p) «Revisori legali»: le persone fisiche, abilitate ad esercitare la revisione legale in Italia ai sensi del decreto legislativo 27 gennaio 2010, n. 39, con incarichi di revisione legale su enti di interesse pubblico o su enti sottoposti a regime intermedio;
q) «Riciclaggio»: le condotte previste dall’art. 2, comma 4, del decreto antiriciclaggio;
r) «sistemi interni di segnalazione delle violazioni»: le modalità di segnalazione al proprio interno, ai sensi dell’art. 48 del decreto antiriciclaggio, di violazioni, potenziali o effettive, delle disposizioni dettate in funzione di prevenzione del riciclaggio e del finanziamento del terrorismo;
s) «società di revisione»: le società, abilitate ad esercitare la revisione legale in Italia ai sensi del decreto legislativo 27 gennaio 2010, n. 39, con incarichi di revisione legale su enti di interesse pubblico o su enti sottoposti a regime intermedio.
2. Ai fini delle disposizioni di cui al presente regolamento, inoltre:
a) per «cliente» si intende il soggetto al quale i revisori rendono una prestazione professionale in seguito al conferimento di un incarico. Nel caso di incarico conferito dal collegio sindacale ai sensi dell’art. 2403-bis del codice civile, la prestazione professionale si intende resa al soggetto nei cui confronti vengono svolte le operazioni di ispezione e di controllo di cui al citato art. 2403-bis. Nel caso di incarico conferito dalla Rete, la prestazione professionale si intende resa all’entità oggetto dell’incarico, salvo i casi in cui detta prestazione assuma ambito e portata tali da non far sorgere alcuna rilevante e diretta relazione tra il revisore e l’entità oggetto dell’incarico;
b) per «titolare effettivo» si intende: a) la persona fisica o le persone fisiche per conto delle quali il cliente instaura un rapporto professionale (in breve, «titolare effettivo sub 1»); b) nel caso in cui il cliente e/o il soggetto per conto del quale il cliente instaura un rapporto professionale siano entità diverse da una persona fisica, la persona fisica o le persone fisiche cui, in ultima istanza, è attribuibile la proprietà diretta o indiretta dell’entità oppure il relativo controllo o che ne risultano beneficiari (in breve, «titolare effettivo sub 2»). In particolare, in caso di società di capitali o altre persone giuridiche private, anche se con sede all’estero, e trust espressi, indipendentemente dal relativo luogo di istituzione e dalla legge ad essi applicabile, il titolare effettivo sub 2) è individuato secondo i criteri di cui agli articoli 20 e 22, comma 5, del decreto antiriciclaggio; gli stessi criteri si applicano, in quanto compatibili, in caso di società di persone e di altri soggetti giuridici, pubblici o privati, anche se privi di personalità giuridica.
Titolo II – DISPOSIZIONI IN MATERIA DI ORGANIZZAZIONE, PROCEDURE E CONTROLLI INTERNI
Capo I – Disposizioni generali
Art. 4 Ambito di applicazione
1. Le disposizioni generali del capo I si applicano alle società di revisione e, in quanto compatibili, ai revisori legali.
2. In particolare, ai revisori legali le disposizioni del capo I si applicano in coerenza con la loro natura di professionisti individuali ed in misura proporzionata alla struttura organizzativa di cui eventualmente si avvalgono, secondo quanto previsto nel capo III.
Art. 5. Finalità e principi
1. I revisori legali e le società di revisione si dotano di presidi organizzativi, procedurali e di controlli interni adeguati al fine di prevenire, mitigare e gestire i rischi di riciclaggio e di finanziamento del terrorismo.
2. Nell’introdurre presidi specifici per mitigare e gestire i rischi di riciclaggio e finanziamento del terrorismo, i revisori legali e le società di revisione si dotano di risorse, procedure, funzioni organizzative chiaramente individuate e adeguatamente specializzate. Tali presidi includono almeno:
a) la chiara definizione, ai diversi livelli della struttura organizzativa, dei ruoli, dei compiti e delle responsabilità relative alla prevenzione e gestione dei rischi di riciclaggio e di finanziamento del terrorismo;
b) l’istituzione di un’apposita funzione incaricata di sovrintendere all’impegno di prevenzione e gestione dei rischi di riciclaggio e di finanziamento del terrorismo (di seguito «funzione antiriciclaggio»);
c) la definizione di procedure di analisi e valutazione dei rischi di riciclaggio e di finanziamento del terrorismo idonee ad assicurare il rispetto dell’art. 6 del presente regolamento;
d) la responsabilizzazione del personale con riguardo alla prevenzione dei rischi di riciclaggio e di finanziamento del terrorismo;
e) la predisposizione di procedure interne finalizzate a garantire l’osservanza degli obblighi di adeguata verifica della clientela, di conservazione dei documenti e dei dati ai sensi del titolo II, capo II, del decreto antiriciclaggio, di segnalazione delle operazioni sospette, di comunicazione ai sensi del titolo II, capo VI, del decreto antiriciclaggio;
f) la definizione di sistemi di controllo interno che siano coerenti con la struttura, la complessità e la dimensione dell’attività svolta, con la tipologia dei servizi offerti e l’entità del rischio associabile alle caratteristiche della clientela, e che siano in grado di individuare tempestivamente carenze nelle procedure applicate e nei comportamenti, suscettibili di produrre violazioni da parte del personale degli obblighi di prevenzione e gestione dei rischi di riciclaggio e di finanziamento del terrorismo e delle procedure interne in materia.
3. I presidi adottati devono essere adeguati alla forma giuridica, alle dimensioni e all’articolazione organizzativa dei revisori legali e delle società di revisione e devono essere proporzionati ai rischi di riciclaggio e di finanziamento del terrorismo cui gli stessi sono esposti in relazione alla tipologia di clientela per conto della quale l’attività professionale viene svolta e alle caratteristiche e alla complessità della stessa.
4. L’applicazione del principio di proporzionalità non può esimere dall’istituzione della funzione antiriciclaggio. I revisori legali e le società di revisione con clientela a basso rischio di riciclaggio e di finanziamento del terrorismo possono, in applicazione del principio di proporzionalità, delineare assetti organizzativi e di controllo snelli, ferma restando la necessità di adottare procedure interne complete e adeguate al contesto operativo e di assicurare un’idonea formazione del personale.
5. Le procedure interne devono indicare in modo articolato le regole operative e le concrete modalità di comportamento cui i revisori legali e le società di revisione devono attenersi nell’assolvimento degli obblighi normativi di prevenzione e gestione dei rischi di riciclaggio e di finanziamento del terrorismo e non possono consistere in una mera elencazione dei predetti obblighi.
Art. 6. Analisi e valutazione dei rischi
1. I revisori legali e le società di revisione adottano procedure oggettive per l’analisi e la valutazione dei rischi di riciclaggio e di finanziamento del terrorismo cui sono esposti.
2. Le predette procedure sono coerenti con i criteri e le metodologie dettati dalla Consob ai sensi dell’art. 15, comma 1, del decreto antiriciclaggio.
3. I revisori legali e le società di revisione effettuano l’analisi e la valutazione dei rischi di riciclaggio e finanziamento del terrorismo cui sono esposti (cd. «autovalutazione dei rischi») con cadenza almeno annuale.
4. L’autovalutazione dei rischi da parte delle società di revisione è effettuata sulla base dei dati del bilancio di esercizio e deve essere documentata e sottoposta per l’approvazione all’organo con funzioni di amministrazione della società, sentito l’organo con funzioni di controllo. I relativi atti sono trasmessi alla Consob entro il quinto mese successivo alla data di chiusura del bilancio di esercizio.
5. L’autovalutazione dei rischi da parte dei revisori legali deve essere documentata e i relativi atti sono prontamente messi a disposizione della Consob su richiesta della stessa.
6. Tutte le informazioni, le analisi e i dati posti a base del processo di autovalutazione vengono conservati dalle società di revisione e dai revisori legali per cinque anni e sono prontamente forniti alle Autorità di vigilanza che ne facciano richiesta.
Capo II – Disposizioni relative alle società di revisione
Art. 7. Organo con funzioni di amministrazione
1. L’organo con funzioni di amministrazione, nello svolgimento dei propri compiti di supervisione strategica:
a) elabora ed aggiorna periodicamente orientamenti strategici e politiche di governo dei rischi di riciclaggio e finanziamento del terrorismo, in coerenza con un approccio basato sul rischio e tenuto conto dell’analisi e valutazione dei rischi approvata ai sensi del precedente art. 6;
b) assicura nel continuo che i compiti e le responsabilità in materia di prevenzione e gestione dei rischi di riciclaggio e di finanziamento del terrorismo siano assegnati in modo chiaro e appropriato, garantendo che le funzioni di controllo non siano svolte da soggetti in possesso di deleghe gestionali in grado di inficiarne l’indipendenza nello svolgimento della funzione e che comunque le funzioni operative e quelle di controllo siano fornite di risorse qualitativamente e quantitativamente adeguate;
c) assicura che venga definito un sistema di flussi informativi verso gli organi sociali e al loro interno adeguato, completo e tempestivo, nel rispetto degli obblighi di riservatezza di cui agli articoli 38 e 39 del decreto antiriciclaggio;
d) definisce un sistema di controlli interni organico e coordinato, funzionale alla tempestiva rilevazione e alla gestione dei rischi di riciclaggio e di finanziamento del terrorismo, e assicura che detto sistema di controlli permanga efficace nel tempo;
e) esamina, almeno una volta l’anno, le relazioni concernenti l’attività svolta dal responsabile della funzione antiriciclaggio e i controlli eseguiti dalla funzione di controllo di qualità;
f) assicura che le carenze e le anomalie riscontrate in esito ai controlli di vario livello siano portate senza ritardo a sua conoscenza e ne monitora il tempestivo superamento.
2. L’organo con funzioni di amministrazione, nello svolgimento dei propri compiti di gestione:
a) definisce le responsabilità delle strutture e delle funzioni aziendali;
b) predispone le procedure per l’analisi e la valutazione dei rischi di riciclaggio e di finanziamento del terrorismo e le procedure operative e ne cura la realizzazione e l’aggiornamento, tenendo conto delle indicazioni e delle linee guida espresse dalle Autorità competenti e dai diversi organismi internazionali nonché dei mutamenti del quadro normativo, ivi compresi i principi di revisione;
c) disciplina i presidi di controllo in materia di rischi di riciclaggio e di finanziamento del terrorismo da adottare con riferimento alla clientela nei confronti della quale il responsabile della funzione antiriciclaggio svolga attività professionale;
d) assicura l’adozione di misure di adeguata verifica della clientela proporzionali all’entità dei rischi di riciclaggio e di finanziamento del terrorismo, tenuto conto dei criteri generali di cui al titolo II, capo I, del decreto antiriciclaggio e delle relative disposizioni di attuazione;
e) definisce le procedure per l’assolvimento degli obblighi di conservazione, nel rispetto delle norme di cui al titolo II, capo II, del decreto antiriciclaggio e delle relative disposizioni di attuazione;
f) definisce le procedure per l’assolvimento degli obblighi di segnalazione di operazioni sospette in modo da garantire certezza di riferimento, omogeneità nei comportamenti e applicazione generalizzata a tutta la struttura, nel rispetto delle norme di cui al titolo II, capo III, del decreto antiriciclaggio, nonché dell’art. 14 del presente regolamento;
g) definisce le procedure per assicurare il tempestivo assolvimento degli obblighi di comunicazione di cui al titolo II, capo VI, del decreto antiriciclaggio;
h) definisce le procedure relative ai sistemi interni di segnalazione delle violazioni;
i) definisce i flussi informativi finalizzati ad assicurare la conoscenza dei fattori di rischio a tutte le strutture aziendali coinvolte e agli organi incaricati di funzioni di controllo;
j) approva i programmi di addestramento e formazione del personale dipendente e dei collaboratori sugli obblighi derivanti dalla disciplina in materia di antiriciclaggio e di contrasto al finanziamento del terrorismo;
k) adotta strumenti idonei a consentire la costante verifica dell’attività svolta dal personale.
Art. 8. Organo con funzioni di controllo
1. L’organo con funzioni di controllo:
a) verifica l’adeguatezza delle procedure di analisi e valutazione dei rischi di riciclaggio e di finanziamento del terrorismo e viene sentito in merito all’autovalutazione periodica condotta ai sensi dell’art. 6, comma 4, del presente regolamento;
b) viene sentito in merito alla nomina del responsabile della funzione antiriciclaggio e alla definizione della configurazione complessiva dei sistemi di controllo interno e dei presidi di gestione dei rischi di riciclaggio e di finanziamento del terrorismo;
c) vigila sull’osservanza della normativa e sulla completezza, funzionalità e adeguatezza dei controlli antiriciclaggio e antiterrorismo avvalendosi:
delle strutture interne per lo svolgimento delle verifiche e degli accertamenti necessari;
dei flussi informativi provenienti dagli altri organi aziendali, dal responsabile della funzione antiriciclaggio e dalle altre funzioni di controllo interno, in particolare dalla funzione di controllo di qualità;
d) valuta l’idoneità delle procedure relative all’adeguata verifica della clientela, alla conservazione dei documenti e dei dati ai sensi del titolo II, capo II, del decreto antiriciclaggio, alla segnalazione delle operazioni sospette, agli obblighi di comunicazione ai sensi del titolo II, capo VI, del decreto antiriciclaggio e ai sistemi interni di segnalazione delle violazioni;
e) promuove approfondimenti sulle cause delle carenze, anomalie e irregolarità riscontrate e l’adozione delle relative misure correttive;
f) adempie senza ritardo gli obblighi di comunicazione di cui agli articoli 46 e 51 del decreto antiriciclaggio.
Art. 9. Organismo di vigilanza di cui al decreto legislativo 8 giugno 2001, n. 231
1. I modelli di organizzazione e di gestione eventualmente adottati dalle società di revisione, ai sensi e per gli effetti di cui al decreto legislativo 8 giugno 2001 n. 231, contengono specifiche previsioni in merito alla prevenzione dei reati di
riciclaggio e finanziamento del terrorismo.
2. L’organismo di vigilanza, nominato ai sensi dell’art. 6 del decreto legislativo 8 giugno 2001 n. 231, vigila sul funzionamento e sull’osservanza dei modelli di organizzazione e di gestione e, in coordinamento con gli organi sociali e le funzioni di controllo, verifica l’efficacia dei presidi e l’osservanza delle procedure relative alla mitigazione e gestione dei rischi di riciclaggio e di finanziamento del terrorismo, promuovendo l’adozione delle misure correttive più idonee al superamento di eventuali carenze.
3. L’organismo di vigilanza è dotato di autonomi poteri di iniziativa e di controllo e, nell’esercizio delle proprie funzioni, può accedere senza limitazioni a tutte le informazioni aziendali rilevanti e scambia regolari flussi informativi con gli organi e le funzioni aziendali.
4. Le attività svolte dall’organismo sono documentate e i relativi atti, ove richiesti, sono prontamente forniti alle Autorità di vigilanza di settore e alla UIF.
Art. 10. Organizzazione e responsabilità della funzione antiriciclaggio
1. Le società di revisione si dotano di una funzione deputata a prevenire e gestire i rischi di riciclaggio e di finanziamento del terrorismo.
2. La funzione è indipendente e dotata di risorse qualitativamente e quantitativamente adeguate ai compiti da svolgere, in coerenza con il principio di proporzionalità.
3. La funzione riferisce direttamente agli organi di vertice e ha accesso a tutte le informazioni aziendali rilevanti per lo svolgimento dei propri compiti.
4. Ferma restando la necessità di nominare un responsabile antiriciclaggio con compiti di coordinamento e di supervisione, le società di revisione – tenuto conto delle proprie dimensioni e del proprio grado di complessità organizzativa ed operativa – possono affidare i diversi compiti in cui si articola l’attività della funzione a strutture organizzative diverse, già presenti nell’ambito dell’impresa, ad esempio, alle strutture che svolgono la funzione di risk management. I compiti propri della funzione antiriciclaggio non possono, tuttavia, essere assegnati alla funzione deputata ai controlli di qualità, a cui compete il dovere di verificare periodicamente l’adeguatezza e l’efficacia delle attività proprie della funzione antiriciclaggio.
5. La nomina e la revoca del responsabile della funzione antiriciclaggio sono di competenza dell’organo con funzioni di amministrazione, sentito l’organo con funzioni di controllo; esse sono comunicate senza ritardo alla Consob.
6. Il responsabile della funzione antiriciclaggio deve essere in possesso di adeguati requisiti di indipendenza, autorevolezza e professionalità. Nella normativa interna sono definiti i presidi posti a tutela della stabilità e dell’indipendenza del responsabile della funzione.
7. Il responsabile della funzione antiriciclaggio non deve avere responsabilità dirette di aree operative, né deve essere, nello svolgimento della funzione, gerarchicamente dipendente dai soggetti responsabili di dette aree. La responsabilità della funzione può essere attribuita a un socio o a un amministratore purché privi di deleghe gestionali.
8. Qualora il responsabile della funzione antiriciclaggio svolga attività professionale nei confronti della clientela, la società deve implementare un ulteriore presidio di controllo con riferimento alla clientela dallo stesso seguita.
9. Il personale chiamato a collaborare nella funzione, anche se inserito in aree operative, riferisce direttamente al responsabile della funzione antiriciclaggio per le questioni attinenti a detti compiti.
10. La funzione antiriciclaggio collabora con le altre funzioni aziendali e, in particolare, con le funzioni di controllo di qualità, risorse umane e sistemi informativi, con l’area legale, l’organizzazione e il risk management.
Art. 11. Compiti della funzione antiriciclaggio
1. La funzione antiriciclaggio verifica nel continuo che le procedure aziendali siano coerenti con l’obiettivo di prevenire e contrastare la violazione di norme di legge e regolamentari in materia di riciclaggio e di finanziamento del terrorismo. A tal fine, la funzione provvede a:
a) identificare le norme applicabili e valutare il loro impatto sui processi e le procedure interne;
b) curare la predisposizione dell’autovalutazione periodica dei rischi di riciclaggio e di finanziamento del terrorismo ai sensi dell’art. 6, comma 4, del presente regolamento;
c) collaborare all’individuazione del sistema dei controlli interni e delle procedure finalizzati alla prevenzione e alla gestione dei rischi di riciclaggio e di finanziamento del terrorismo;
d) verificare l’idoneità del sistema dei controlli interni e delle procedure adottati e proporre le opportune modifiche organizzative e procedurali al fine di assicurare un adeguato presidio degli stessi rischi;
e) prestare consulenza e assistenza agli organi aziendali e all’alta direzione;
f) verificare l’adeguatezza dei sistemi aziendali e delle procedure interne in materia di:
1. analisi e valutazione dei rischi di riciclaggio e di finanziamento del terrorismo;
2. adeguata verifica della clientela;
3. conservazione dei documenti e dei dati ai sensi del titolo II, capo II, del decreto antiriciclaggio;
4. rilevazione, valutazione e segnalazione delle operazioni sospette;
5. adempimento degli obblighi di comunicazione di cui al titolo II, capo VI, del decreto antiriciclaggio;
6. sistemi interni di segnalazione delle violazioni;
g) curare, in raccordo con le altre funzioni aziendali competenti in materia di formazione, la predisposizione di un adeguato piano di formazione, finalizzato a conseguire un aggiornamento su base continuativa del personale dipendente e dei collaboratori;
h) predisporre flussi informativi diretti agli organi sociali e all’alta direzione.
2. La funzione antiriciclaggio può essere chiamata a svolgere le attività di rafforzata verifica della clientela nei casi in cui il rischio di riciclaggio risulti particolarmente elevato. Laddove tale compito venga attribuito alle strutture operative che collaborano nella funzione, il responsabile antiriciclaggio contribuisce a determinare in concreto le misure rafforzate da applicare e controlla l’adeguatezza del processo di rafforzata verifica condotto dalle strutture di linea e i relativi esiti.
3. Nella valutazione dell’adeguatezza dei sistemi aziendali e delle procedure interne, la funzione effettua controlli in loco, anche su base campionaria, per verificare l’efficacia e la funzionalità delle stesse e individuare eventuali aree di criticità.
4. Le attività svolte dalla funzione sono documentate e i relativi atti, ove richiesti, sono prontamente forniti alle Autorità di vigilanza di settore e alla UIF.
5. Almeno una volta l’anno, il responsabile della funzione presenta agli organi sociali una relazione sulle iniziative intraprese, sulle carenze rilevate e sulle relative azioni correttive da adottare nonché sull’attività formativa del personale.
6. In qualità di presidio aziendale specialistico antiriciclaggio, la funzione collabora con le Autorità di vigilanza di settore e con la UIF.
Art. 12. Disposizioni in tema di esternalizzazione della funzione antiriciclaggio
1. Lo svolgimento dei compiti propri della funzione antiriciclaggio può essere affidato a soggetti esterni dotati di idonei requisiti di professionalità, autorevolezza e indipendenza.
La responsabilità per la corretta gestione dei rischi in discorso resta, in ogni caso, in capo alla società di revisione, che adotta le cautele necessarie a garantire il mantenimento dei poteri di indirizzo e controllo da parte degli organi aziendali sulla funzione esternalizzata.
2. In caso di esternalizzazione, la società di revisione nomina un responsabile interno della funzione antiriciclaggio, con il compito di monitorare le modalità di svolgimento del servizio da parte dell’outsourcer.
3. L’esternalizzazione deve essere formalizzata in un accordo scritto che definisca almeno:
a) la compiuta indicazione delle attività da svolgere e degli obiettivi da perseguire;
b) la frequenza minima dei flussi informativi nei confronti del responsabile interno della funzione antiriciclaggio e degli organi con funzioni di amministrazione e controllo, fermo restando l’obbligo di redigere almeno una volta l’anno una relazione da sottoporre agli organi sociali sull’attività svolta, sulle eventuali carenze rilevate e le azioni correttive da intraprendere;
c) le modalità secondo le quali l’outsourcer si impegna a fornire riscontro alle richieste di informazioni, chiarimenti e consulenza provenienti dalle strutture della società di revisione;
d) gli obblighi di riservatezza con riguardo alle informazioni acquisite nell’esercizio della funzione;
e) la possibilità di rivedere le condizioni del servizio al verificarsi di modifiche normative o nell’operatività e nell’organizzazione della società di revisione.
4. Le attività svolte dall’outsourcer sono documentate e i relativi atti, ove richiesti, sono prontamente forniti alle Autorità di vigilanza di settore e alla UIF.
Art. 13. Funzione di controllo di qualità
1. La funzione di controllo di qualità, nell’ambito dei relativi programmi di monitoraggio, verifica l’osservanza delle disposizioni normative e delle procedure interne in materia di prevenzione e gestione dei rischi di riciclaggio e di finanziamento del terrorismo.
2. In tale ambito, la funzione, tra l’altro, verifica:
a) il costante rispetto dell’obbligo di adeguata verifica, sia nella fase di instaurazione del rapporto che nello svilupparsi nel tempo della prestazione professionale;
b) l’effettiva acquisizione e l’ordinata conservazione dei dati, informazioni e documenti prescritti dalla normativa primaria e secondaria;
c) l’effettivo svolgimento da parte del personale delle attività preordinate alla rilevazione, nell’ambito dell’esecuzione della prestazione professionale, di eventuali elementi di anomalia potenzialmente rilevanti ai fini dell’assolvimento dell’obbligo di segnalazione di operazioni sospette;
d) l’adeguatezza e l’efficacia delle attività svolte dalla funzione antiriciclaggio e la funzionalità del complessivo sistema dei controlli interni.
3. Gli interventi sono oggetto di pianificazione per consentire che le prestazioni professionali siano sottoposte a verifica in un congruo arco di tempo e che le iniziative siano più frequenti con riferimento agli incarichi caratterizzati da maggiore esposizione ai rischi di riciclaggio e di finanziamento del terrorismo.
4. La funzione di controllo di qualità svolge altresì interventi di follow-up al fine di assicurarsi dell’avvenuta adozione degli interventi correttivi delle carenze e irregolarità riscontrate e della loro idoneità ad evitare analoghe situazioni nel futuro.
5. Le verifiche svolte dalla funzione sono documentate e i relativi atti, ove richiesti, sono prontamente forniti alle Autorità di vigilanza di settore e alla UIF.
6. La funzione redige inoltre una relazione annuale da sottoporre agli organi sociali, avente ad oggetto compiute informazioni sull’attività svolta e sui relativi esiti.
Art. 14. Disposizioni specifiche in tema di segnalazioni di operazioni sospette
1. L’organo con funzioni di amministrazione adotta disposizioni procedurali atte a disciplinare le modalità di individuazione ed analisi, nell’ambito dello svolgimento della prestazione professionale, degli elementi di anomalia di potenziale rilevanza ai fini dell’obbligo di segnalazione di operazioni sospette.
2. Il responsabile dell’incarico di revisione, che partecipa al compimento della prestazione e al quale compete la gestione del rapporto con il cliente, ha l’obbligo di trasmettere senza ritardo la segnalazione di eventuali operazioni sospette al legale rappresentante o a un suo delegato.
3. Il legale rappresentante o il delegato esaminano le segnalazioni pervenute e, qualora le ritengano fondate alla luce dell’insieme degli elementi a propria disposizione e delle evidenze desumibili dai dati e dalle informazioni conservati, le trasmettono alla UIF, prive del nominativo del segnalante.
4. Le disposizioni procedurali interne descrivono tutte le fasi del processo di analisi, rappresentazione e valutazione delle operazioni sospette, prevedendo che il contributo dei vari soggetti coinvolti sia adeguatamente documentato anche in caso di mancato invio della segnalazione alla UIF.
5. La persona nominata delegato previa delibera dell’organo con funzioni di amministrazione, sentito l’organo con funzioni di controllo, deve essere in possesso di adeguati requisiti di indipendenza, autorevolezza e professionalità. Il delegato non deve avere responsabilità dirette in aree operative, né deve essere gerarchicamente dipendente da soggetti di dette aree.
6. La delega per la valutazione e la trasmissione delle segnalazioni pervenute può essere attribuita al responsabile della funzione antiriciclaggio. La medesima delega non può essere conferita al responsabile della funzione di controllo di qualità né a soggetti esterni all’impresa.
7. Il ruolo e le responsabilità del legale rappresentante ovvero del delegato devono essere adeguatamente formalizzati e resi pubblici all’interno della struttura. Il nominativo del legale rappresentante ovvero del delegato va comunicato alla UIF. Nella normativa interna sono definiti i presidi da adottare a tutela dell’indipendenza del legale rappresentante e del delegato, con riferimento alla clientela nei confronti della quale detti soggetti svolgano attività professionale.
8. Il legale rappresentante o il delegato:
a) devono avere libero accesso a tutti i documenti e dati rilevanti per lo svolgimento dei propri compiti, nonché ai flussi informativi diretti agli organi aziendali e alle strutture coinvolte nella prevenzione e gestione dei rischi di riciclaggio e di finanziamento del terrorismo, e possono acquisire informazioni utili dal responsabile della funzione antiriciclaggio;
b) comunicano, con le modalità organizzative ritenute più appropriate, l’esito della propria valutazione al responsabile dell’incarico che ha effettuato la segnalazione;
c) svolgono all’occorrenza un ruolo di interlocuzione con la UIF e corrispondono tempestivamente ad eventuali richieste di approfondimento da parte della stessa.
9. L’organo con funzioni di amministrazione adotta tutte le misure idonee ad assicurare la riservatezza dell’identità delle persone che effettuano la segnalazione. Il legale rappresentante o il delegato sono responsabili della custodia degli atti e dei documenti in cui sono indicate le generalità del segnalante.
Art. 15. Partner responsabile dell’incarico
1. Le procedure interne approvate dall’organo con funzioni di amministrazione descrivono i compiti, ivi compresi quelli di coordinamento e supervisione, assegnati al partner responsabile dell’incarico con riguardo agli adempimenti preordinati alla prevenzione e gestione dei rischi di riciclaggio e di finanziamento del terrorismo.
2. Il partner responsabile dell’incarico deve valutare il rischio di riciclaggio e di finanziamento del terrorismo nella fase propedeutica all’accettazione del cliente e dell’incarico e in sede di valutazione periodica dello stesso, in modo tale che si pervenga a formulare e a tenere aggiornato un motivato giudizio sia in merito al rischio generale di revisione del cliente, sia in merito al grado di rischio specifico di riciclaggio e finanziamento del terrorismo associabile al cliente oggetto di valutazione.
3. Nel caso di assegnazione di un grado di rischio elevato di riciclaggio o di finanziamento del terrorismo, il partner responsabile dell’incarico deve comunicare tale situazione al responsabile della funzione antiriciclaggio e, ove presente, alla funzione di risk management, al fine sia di concordare con quest’ultima il livello di rischio generale di revisione da assegnare al cliente, sia di decidere se accettare/continuare o meno a prestare servizi allo stesso. Nel caso in cui si decida di accettare/continuare la prestazione del servizio, il partner responsabile dell’incarico stabilisce, con il contributo del responsabile della funzione antiriciclaggio, le misure di rafforzata verifica da applicare e provvede a conservarne evidenza scritta.
4. Al partner responsabile dell’incarico compete la responsabilità di identificare e valutare, nell’ambito delle attività di esecuzione della prestazione professionale, gli elementi di anomalia di potenziale rilevanza ai fini dell’obbligo di segnalazione di operazioni sospette, provvedendo se del caso a trasmettere senza ritardo una segnalazione al legale rappresentante o al delegato per le successive analisi e valutazioni di rispettiva competenza.
Art. 16. Formazione del personale
1. L’organo con funzioni di amministrazione garantisce lo svolgimento di programmi continuativi di formazione, finalizzati alla conoscenza aggiornata e alla corretta applicazione delle norme e delle procedure interne in materia di mitigazione e gestione dei rischi di riciclaggio e finanziamento del terrorismo.
2. I programmi di formazione tengono conto delle specifiche caratteristiche organizzative ed operative della società di revisione e prendono in considerazione i vari adempimenti connessi all’adeguata verifica della clientela, agli obblighi di conservazione, all’identificazione e valutazione di anomalie rilevanti ai fini degli obblighi di segnalazione di operazioni sospette, nonché alla segnalazione di violazioni ai sensi dell’art. 48 del decreto antiriciclaggio.
3. I programmi di formazione forniscono altresì al personale e ai collaboratori della società di revisione una conoscenza aggiornata dell’evoluzione dei rischi di riciclaggio e di finanziamento del terrorismo, degli schemi tipici delle operazioni finanziarie criminali e prendono in considerazione le migliori prassi di prevenzione applicabili.
4. Alla predisposizione dei programmi di formazione deve provvedere il responsabile della funzione antiriciclaggio o, diversamente, il rappresentante legale della società, in coordinamento con il responsabile della formazione del personale. I programmi sono in ogni caso approvati dall’organo con funzioni di amministrazione.
5. Specifici programmi di formazione devono essere pianificati per il personale appartenente alla funzione antiriciclaggio.
6. Annualmente deve essere sottoposta all’organo con funzioni di amministrazione una relazione sull’attività di addestramento e formazione svolta in materia di normativa antiriciclaggio ed antiterrorismo.
7. Un supporto all’azione di formazione del personale e di diffusione della complessiva disciplina può essere fornito dalle associazioni di categoria o da altri organismi esterni, attraverso iniziative volte ad approfondire la normativa, a studiarne le modalità di applicazione e a diffonderne la conoscenza in modo chiaro ed efficace.
Art. 17. Appartenenza a una «Rete»
1. Le società di revisione che appartengono a una «Rete», nell’adottare i presidi organizzativi e procedurali in materia di prevenzione e gestione dei rischi di riciclaggio e di finanziamento del terrorismo definiti all’interno della «Rete», sono tenuti ad apportare ai medesimi le integrazioni e/o le modifiche necessarie al fine di garantire un pieno rispetto delle vigenti disposizioni nazionali di riferimento.
Capo III – Disposizioni relative ai revisori legali
Art. 18. Revisori legali
1. Ove, ai fini dello svolgimento della prestazione professionale nei confronti dei clienti, si avvalgano della collaborazione di terzi, i revisori legali sono responsabili dell’adempimento degli obblighi del presente regolamento. In tale ipotesi, i revisori legali sono in ogni caso tenuti:
a) a nominare il responsabile antiriciclaggio, ove tale responsabilità non sia rivestita da loro stessi;
b) a definire in modo chiaro, completo e documentato, nell’ambito dei contratti di collaborazione, i compiti e le responsabilità assegnati ai collaboratori, qualunque sia il titolo della collaborazione da questi prestata;
c) a fornire ai collaboratori gli strumenti operativi e le procedure, anche informatiche, necessarie per lo svolgimento delle attività e per i connessi adempimenti finalizzati alla prevenzione del riciclaggio e del finanziamento del terrorismo;
d) ad approntare un sistema di flussi informativi adeguato, completo e tempestivo;
e) ad esercitare nel continuo un’attività di direzione, supervisione e controllo sul corretto e tempestivo adempimento degli obblighi antiriciclaggio ed antiterrorismo da parte dei collaboratori;
f) ad accertare che i collaboratori posseggano un’adeguata formazione in materia di prevenzione del riciclaggio e del finanziamento del terrorismo.
Titolo III – DISPOSIZIONI IN MATERIA DI ADEGUATA VERIFICA E CONSERVAZIONE
Art. 19. Principi generali
1. I revisori adottano misure di adeguata verifica commisurate ai rischi di riciclaggio e di finanziamento del terrorismo associati alla clientela, in base alle caratteristiche della stessa e alle specificità dell’attività professionale prestata («approccio basato sul rischio»). A tal fine, i revisori si dotano di procedure interne in cui sono definite in modo articolato le regole operative e le concrete modalità di comportamento cui i singoli soggetti coinvolti devono attenersi, così da assicurare la coerenza di comportamento e la tracciabilità delle verifiche svolte e delle valutazioni effettuate. Le predette procedure indicano, in particolare, le specifiche misure di adeguata verifica semplificata e rafforzata da assumere in relazione alle diverse tipologie di clienti e di attività professionali.
2. I revisori applicano le misure di adeguata verifica della clientela in modo coerente rispetto alle metodologie ed ai processi propri dell’attività professionale svolta, tenendo conto delle norme di legge e regolamentari relative alla revisione legale, nonché dei principi di revisione applicabili.
3. L’approccio basato sul rischio non può condurre a non adempiere gli obblighi che le vigenti norme di legge o regolamentari stabiliscono a carico dei revisori.
Art. 20. Elementi per la valutazione del rischio di riciclaggio e di finanziamento del terrorismo
1. I revisori assolvono agli obblighi di adeguata verifica della clientela basandosi sui dati e le informazioni acquisiti nel diligente esercizio della propria attività professionale.
2. Per la valutazione del rischio di riciclaggio e di finanziamento del terrorismo, i revisori considerano i criteri generali stabiliti dall’art. 17, comma 3, del decreto antiriciclaggio nonché i fattori di rischio descritti negli allegati 1 e 2.
3. I revisori prendono in considerazione anche ulteriori elementi riscontrabili nello svolgimento dell’attività professionale, quando essi siano rilevanti ai fini dell’individuazione del rischio di riciclaggio e di finanziamento del terrorismo. In particolare, i revisori tengono conto di:
a) eventuali incompletezze, irregolarità o manipolazioni della documentazione contabile, ovvero del rifiuto o della riluttanza a concedere accesso alle registrazioni contabili;
b) operazioni anomale corrispondenti alle fattispecie identificate quali indicatori di anomalia dalla UIF ai sensi dell’art. 6, comma 4, lett. e), del decreto antiriciclaggio ed alle fattispecie oggetto delle Comunicazioni pubblicate dalla stessa UIF in materia di prevenzione del finanziamento del terrorismo.
Art. 21. Profilatura della clientela
1. I revisori provvedono a definire, prima dell’accettazione dell’incarico, il profilo di rischio di riciclaggio e di finanziamento del terrorismo attribuibile a ciascun cliente sulla base dei complessivi elementi di valutazione e dei fattori di rischio descritti negli allegati 1 e 2, ponderati in funzione della loro importanza relativa. In esito alla profilatura, ciascun cliente è incluso in una classe di rischio predefinita, in ragione della quale sono graduate le misure e le attività afferenti all’adempimento degli obblighi di adeguata verifica e di valutazione delle operazioni sospette.
2. Ai fini dell’elaborazione del profilo di rischio della clientela, i revisori adottano sistemi di classificazione che si avvalgono, per quanto possibile, di procedure informatiche e di algoritmi predefiniti, in grado di assegnare in automatico la classe di rischio. Tuttavia, i revisori attribuiscono al cliente una classe di rischio più elevata di quella risultante dalle procedure automatiche, qualora la ritengano più appropriata secondo il loro prudente apprezzamento. Qualora in casi eccezionali venga attribuita al cliente una classe di rischio inferiore a quella risultante dalle procedure automatiche, tale decisione deve essere illustrata e motivata per iscritto.
3. I revisori conservano evidenza delle valutazioni condotte dai vari soggetti coinvolti nell’attribuzione del profilo di rischio del cliente.
4. Se la procedura informatica è fornita da soggetti esterni, i revisori devono adeguatamente conoscere il funzionamento della stessa e i criteri che determinano l’attribuzione della classe di rischio.
5. I revisori definiscono la frequenza ordinaria di aggiornamento della profilatura dei clienti modulandola in base ai livelli di rischio assegnati agli stessi. Nel caso in cui nello svolgimento dell’attività professionale si riscontrino attività o eventi tali da incidere sul profilo di rischio del cliente, i revisori provvedono a modificare tempestivamente la classe di rischio precedentemente attribuita e ad adeguare conseguentemente le misure e le attività afferenti all’adempimento degli obblighi di adeguata verifica e di valutazione delle operazioni sospette.
Art. 22. Obblighi di adeguata verifica
1. L’adeguata verifica della clientela consiste nelle seguenti attività:
a) identificazione del cliente;
b) identificazione dell’eventuale titolare effettivo;
c) verifica dell’identità del cliente e dell’eventuale titolare effettivo sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente;
d) acquisizione di informazioni sullo scopo e sulla natura della prestazione professionale richiesta, ove gli stessi non risultino già evidenti alla luce delle disposizioni in tema di revisione legale;
e) esercizio di un controllo costante nel corso del diligente svolgimento dell’attività professionale.
Art. 23. Modalità di esecuzione degli obblighi di adeguata verifica
1. I revisori provvedono ad adempiere agli obblighi di adeguata verifica di cui al precedente articolo, lettere da a) a d):
a) prima del conferimento dell’incarico per lo svolgimento della prestazione professionale;
b) quando vi è sospetto di riciclaggio o di finanziamento del terrorismo, indipendentemente da qualsiasi deroga o esenzione. A tal fine, i revisori si avvalgono degli indicatori di anomalia e degli schemi rappresentativi di comportamenti anomali emanati dalla UIF ai sensi dell’art. 6, comma 4, lett. e), del decreto antiriciclaggio e delle comunicazioni pubblicate dalla stessa UIF in materia di prevenzione del finanziamento del terrorismo;
c) quando sorgono dubbi sulla veridicità, attendibilità o completezza delle informazioni o della documentazione precedentemente acquisita.
2. I revisori adempiono agli obblighi di adeguata verifica nei confronti dei nuovi clienti nonché dei clienti già acquisiti rispetto ai quali l’adeguata verifica si renda necessaria in conseguenza di modifiche normative ovvero in considerazione del mutato livello di rischio di riciclaggio e di finanziamento del terrorismo.
3. L’identificazione del cliente e del titolare effettivo e la verifica dei relativi dati possono ritenersi assolte qualora siano già state effettuate in relazione a precedenti prestazioni professionali, purché le informazioni esistenti siano aggiornate e adeguate rispetto al profilo di rischio del cliente e alle caratteristiche del nuovo incarico professionale.
4. Gli obblighi di adeguata verifica dei clienti non si applicano:
a) nei casi di attività didattica o scientifica (ad esempio, docenze o collaborazioni editoriali);
b) nel caso di incarichi professionali conferiti nell’ambito di procedure giudiziarie.
Art. 24. Identificazione del cliente
1. Nel caso di cliente persona fisica, i revisori procedono all’identificazione del cliente mediante acquisizione dei dati identificativi forniti dallo stesso, previa esibizione di un documento d’identità o altro documento di riconoscimento equipollente ai sensi della normativa vigente, del quale viene acquisita copia in formato cartaceo o elettronico, purché non modificabile.
2. Nel caso di cliente diverso da persona fisica, l’identificazione va fatta attraverso l’acquisizione dei dati identificativi e delle informazioni su tipologia, forma giuridica, oggetto sociale, finalità perseguite, e, se esistenti, gli estremi dell’iscrizione nel registro delle imprese e negli albi tenuti dalle eventuali Autorità di vigilanza di settore. Occorrerà altresì verificare l’effettiva esistenza del potere di rappresentanza del soggetto che conferisce l’incarico per conto del cliente. Nel caso di organizzazioni non profit, andrà acquisita anche l’informazione circa la classe di beneficiari cui si rivolgono le attività svolte; in caso di trust, sarà acquisita copia dell’atto istitutivo al fine di raccogliere le informazioni sulle finalità perseguite, l’identità dei beneficiari e del trustee, le modalità di esecuzione e ogni altra caratteristica del trust.
3. L’identificazione viene effettuata in presenza del cliente – del legale rappresentante o del soggetto all’uopo delegato quando il cliente sia un soggetto diverso da una persona fisica – prima del conferimento dell’incarico per lo svolgimento della prestazione professionale. Gli obblighi di identificazione si considerano comunque assolti, anche senza la presenza fisica del cliente, nei seguenti casi:
a) per i clienti i cui dati identificativi risultino da atti pubblici, da scritture private autenticate o da certificati qualificati utilizzati per la generazione di una firma digitale associata a documenti informatici ai sensi dell’art. 24 del decreto legislativo 7 marzo 2005, n. 82;
b) per i clienti in possesso di un’identità digitale, di livello di massima sicurezza, nell’ambito del Sistema di cui all’art. 64 del predetto decreto legislativo n. 82 del 2005 e successive modificazioni, e delle relative disposizioni di attuazione, nonché di un’identità digitale di livello massimo di sicurezza o di un certificato per la generazione di firma digitale, rilasciati nell’ambito di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione europea a norma dell’art. 9 del regolamento (UE) n. 910/2014;
c) per i clienti i cui dati identificativi risultino da dichiarazione della rappresentanza diplomatica e dell’autorità consolare italiana, così come indicata nell’art. 6 del decreto legislativo 26 maggio 1997, n. 153;
d) qualora il revisore si avvalga dell’adeguata verifica effettuata da parte di terzi ai sensi dell’art. 26 e seguenti del decreto antiriciclaggio.
Art. 25. Identificazione del titolare effettivo
1. I revisori procedono all’identificazione del titolare effettivo, senza che sia necessaria la presenza fisica di quest’ultimo, contestualmente all’identificazione del cliente e sulla base dei dati identificativi da questi forniti.
2. All’atto dell’identificazione, i revisori richiedono al cliente diverso da persona fisica di fornire, sotto la propria responsabilità, tutte le informazioni necessarie all’identificazione del titolare effettivo sub 2).
3. Nell’ambito del controllo costante, i revisori valutano eventuali elementi che inducono a ritenere che il cliente stia operando per conto di soggetti diversi da quelli indicati.
4. In caso di pluralità di titolari effettivi, gli adempimenti sopra indicati vanno espletati per ciascuno di essi.
Art. 26. Verifica dei dati relativi al cliente e al titolare effettivo
1. La verifica dei dati relativi al cliente e al titolare effettivo richiede il riscontro, sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente, dei dati identificativi contenuti nei documenti e delle informazioni acquisite all’atto dell’identificazione.
2. Con riferimento al cliente persona fisica, i revisori compiono ogni indagine, nell’esercizio della loro diligenza professionale, al fine di verificare l’autenticità e la validità del documento di identità o di altro documento di riconoscimento equipollente acquisito.
3. Per i soggetti non comunitari, i revisori compiono ogni indagine, nell’esercizio della loro diligenza professionale, al fine di verificare l’autenticità e la validità del passaporto, del permesso di soggiorno, del titolo di viaggio per stranieri rilasciato dalla Questura o di altro documento da considerarsi equivalente ai sensi della normativa italiana. A titolo esemplificativo, per gli apolidi che non risultino in possesso dei predetti documenti, i dati identificativi possono essere verificati attraverso il titolo di viaggio per apolidi rilasciato ai sensi della Convenzione sullo Statuto degli apolidi firmata a New York il 28/9/1954. Per i titolari dello status di «rifugiato» o dello status di «protezione sussidiaria», ai sensi del decreto legislativo 19 novembre 2007, n. 251, i dati identificativi possono essere verificati anche attraversoi documenti di viaggio di cui all’art. 24 del citato decreto. Qualora i documenti originali siano in lingua straniera, i revisori adottano le misure di diligenza professionale per accertare il contenuto degli stessi (anche attraverso una traduzione giurata dell’originale, quando ritenuto necessario).
4. Per i soggetti minori di età, i dati identificativi devono essere verificati, in mancanza di un documento di identità o di riconoscimento, attraverso il certificato di nascita o l’eventuale provvedimento del giudice tutelare. La verifica può avvenire anche a mezzo di una foto autenticata: in tal caso devono essere registrati gli estremi dell’atto di nascita dell’interessato.
5. Quando dagli accertamenti condotti ai sensi dei commi da 2 a 4 del presente articolo emergano dubbi, incertezze o incongruenze, i revisori effettuano ogni ulteriore riscontro necessario a verificare i dati identificativi e le informazioni acquisiti. A titolo esemplificativo, può essere consultato il sistema pubblico per la prevenzione del furto d’identità di cui al decreto legislativo 11 aprile 2011, n. 64.
6. Nel caso in cui il cliente sia un soggetto diverso da una persona fisica, i revisori:
a) effettuano il riscontro dei dati identificativi del cliente con informazioni desumibili da fonti affidabili e indipendenti tra quelle indicate nel comma 7 del presente articolo, di cui vanno acquisite – in via autonoma o per il tramite del cliente – e conservate copie in formato cartaceo o elettronico; i revisori accertano altresì l’esistenza e l’ampiezza del potere di rappresentanza del soggetto che conferisce l’incarico per conto del cliente;
b) adottano misure, commisurate al profilo di rischio del cliente e dell’attività professionale prestata, dirette a ricostruire con ragionevole attendibilità l’assetto proprietario e di controllo del cliente. A questo fine, i revisori consultano ogni fonte informativa utile fino ad individuare, con ragionevole certezza, il titolare effettivo sub 2) e verificarne i dati. Ad esempio, i revisori possono consultare l’apposita sezione del registro delle imprese prevista dall’art. 21 del decreto antiriciclaggio. Delle evidenze utilizzate per i riscontri viene acquisita e conservata copia in formato cartaceo o elettronico.
7. Rientrano tra le fonti affidabili e indipendenti per la verifica dei dati identificativi del cliente diverso da persona
fisica e del titolare effettivo:
a) il registro delle imprese italiano;
b) gli albi ed elenchi di soggetti autorizzati, gli atti costitutivi, gli statuti, i bilanci o documenti equivalenti, le comunicazioni rese al pubblico in conformità alla normativa di settore (quali prospetti, comunicazioni di partecipazioni rilevanti o informazioni privilegiate);
c) i registri dei titolari effettivi istituiti in altri paesi comunitari in attuazione degli articoli 30 e 31 della quarta direttiva antiriciclaggio; d) le informazioni provenienti da organismi e Autorità pubbliche, ivi compresa la pubblica amministrazione, anche di altri paesi comunitari; tali informazioni possono essere acquisite anche attraverso i siti web.
8. I revisori valutano, secondo un approccio basato sul rischio, l’estensione e la profondità dei riscontri da effettuare.
9. In presenza di un basso rischio di riciclaggio o di finanziamento del terrorismo si applicano le disposizioni di cui all’art. 18, comma 3, del decreto antiriciclaggio.
Art. 27. Acquisizione delle informazioni sullo scopo e sulla natura della prestazione professionale
1. Fermo restando quanto previsto in materia di revisione legale dalla normativa vigente e dai principi di revisione, i revisori acquisiscono informazioni sullo scopo e sulla natura di ciascuna prestazione professionale oggetto dei singoli incarichi secondo modalità e in misura proporzionale al profilo di rischio di riciclaggio e di finanziamento del terrorismo riscontrabile.
Art. 28. Controllo costante nel corso del rapporto professionale
1. Nel corso dell’esecuzione della prestazione professionale, i revisori svolgono un controllo costante dei dati e delle informazioni acquisite, al fine di:
a) aggiornare ove necessario il profilo di rischio del cliente;
b) individuare anomalie o elementi di incongruenza, in relazione ai quali porre in essere gli adempimenti appropriati (adozione di misure rafforzate di adeguata verifica, segnalazioni di operazioni sospette) e valutare se ricorrono i presupposti per l’astensione dalla prosecuzione del rapporto.
2. Il controllo costante è commisurato al livello di rischio del cliente e si esercita attraverso l’esame dei dati e delle informazioni acquisiti nello svolgimento della prestazione professionale, nonché mediante l’acquisizione di informazioni in sede di verifica o aggiornamento delle notizie ai fini dell’identificazione del cliente e del titolare effettivo e dell’accertamento della natura e dello scopo della prestazione professionale oggetto dell’incarico.
3. I revisori stabiliscono, in ragione del profilo di rischio, la tempistica e la frequenza dell’aggiornamento dei dati e delle informazioni acquisite, anche avvalendosi di procedure automatiche disegnalazione della scadenza di documenti, certificazioni, poteri di rappresentanza, rapporti di mandato, nonché di segnalazione dell’acquisizione di specifiche qualità (ad esempio quella di PEP), ovvero dell’inclusione in liste o elenchi (ad esempio, quelli previsti dai regolamenti comunitari o dai decreti ministeriali adottati ai sensi del decreto legislativo 22 giugno 2007, n. 109 al fine di contrastare il finanziamento internazionale). L’aggiornamento va comunque effettuato all’atto del rinnovo dell’incarico e quando risulti al revisore che non sono più attuali le informazioni utilizzate per l’adeguata verifica precedentemente acquisite.
4. In base alle risultanze dell’attività di controllo costante, i revisori adottano, ove opportuno, idonee misure quali l’aggiornamento di dati, informazioni e profili di rischio, l’effettuazione di più ampie e approfondite verifiche (o l’applicazione dell’adeguata verifica rafforzata), l’individuazione di anomalie e incongruenze che possono condurre alla segnalazione di operazioni sospette, le dimissioni dall’incarico.
Art. 29. Impossibilità di effettuare l’adeguata verifica. Obbligo di astensione
1. I revisori, nel caso in cui non siano in grado di rispettare gli obblighi di adeguata verifica della clientela, non accettano l’incarico ovvero, se il rapporto contrattuale è in corso di esecuzione, pongono fine al rapporto medesimo, rassegnando le dimissioni. Ove si tratti di revisione legale, le dimissioni sono presentate con le modalità stabilite dal Ministro dell’economia e delle finanze con il regolamento adottato in attuazione dell’art. 13, comma 4, del decreto legislativo 27 gennaio 2010, n. 39.
2. I revisori applicano altresì l’obbligo di astensione previsto dall’art. 42, comma 2, del decreto antiriciclaggio e, ove ne ricorrano le condizioni, inviano una segnalazione di operazione sospetta, a norma del titolo II, capo III, del decreto antiriciclaggio.
Art. 30. Misure semplificate di adeguata verifica
1. In presenza di un basso rischio di riciclaggio e di finanziamento del terrorismo, i revisori possono applicare misure semplificate di adeguata verifica.
2. I fattori di basso rischio di riciclaggio e di finanziamento del terrorismo previsti dall’art. 23 del decreto antiriciclaggio rilevanti in relazione alle attività svolte dai revisori sono riepilogati nell’allegato 1, corredati, ove opportuno, da esempi esplicativi.
3. Le misure di adeguata verifica semplificata consistono in una riduzione dell’estensione e/o della frequenza degli obblighi di adeguata verifica attraverso:
a) una modulazione dei tempi di esecuzione delle attività ai fini dell’identificazione del cliente o del titolare effettivo, ad esempio attraverso l’immediata raccolta dei dati identificativi e il rinvio fino a un massimo di trenta giorni dell’effettiva acquisizione della copia del documento;
b) una riduzione della quantità di informazioni da raccogliere, ad esempio prevedendo: i) che la verifica del titolare effettivo sub 2) sia effettuata acquisendo una dichiarazione di conferma dei dati sottoscritta dal cliente, sotto la propria responsabilità; ii) l’utilizzo di presunzioni nell’individuazione dello scopo e della natura del rapporto, in caso la prestazione professionale abbia ad oggetto l’attività di revisione legale;
c) una riduzione della frequenza dell’aggiornamento dei dati raccolti ai fini dell’adeguata verifica, prevedendo che l’aggiornamento sia condotto al ricorrere di specifiche circostanze (quali, ad esempio, il conferimento di un nuovo incarico).
L’aggiornamento dei dati deve in ogni caso essere condotto almeno ogni cinque anni
4. I revisori definiscono e formalizzano le specifiche misure di adeguata verifica semplificata da assumere in relazione alle diverse fattispecie e motivano adeguatamente la scelta di prendere in considerazione eventuali fattori ulteriori indicativi di un basso rischio di riciclaggio e di finanziamento del terrorismo.
5. I revisori verificano il permanere dei presupposti per l’applicazione delle misure di adeguata verifica semplificata della clientela, con modalità e frequenza stabilite secondo l’approccio basato sul rischio. Essi conservano per tutta la durata del rapporto le informazioni raccolte e gli esiti delle verifiche effettuate per stabilire se un cliente rientri tra quelli cui si applica la procedura di adeguata verifica in forma semplificata.
6. I revisori si astengono dall’applicazione delle misure semplificate e si attengono agli adempimenti ordinari o rafforzati di adeguata verifica, salvo che non intendano astenersidall’accettazione dell’incarico o dalla prosecuzione dello stesso e ferma la valutazione di inviare una segnalazione di operazione sospetta, nei casi in cui:
a) vi siano dubbi, incertezze o incongruenze in relazione ai dati identificativi e alle informazioni acquisite in sede di identificazione del cliente ovvero del titolare effettivo;
b) non vi siano più le condizioni per la configurazione di un basso rischio di riciclaggio e di finanziamento del terrorismo, sulla base degli elementi di valutazione acquisiti dai revisori nello svolgimento della propria attività professionale o per il venir meno degli indici di rischio riepilogati nell’allegato 1;
c) vi sia comunque il sospetto di riciclaggio o di finanziamento del terrorismo, indipendentemente da qualsiasi deroga o esenzione applicabile, ai sensi dell’art. 17, comma 2, lettera a), del decreto antiriciclaggio.
Art. 31. Misure rafforzate di adeguata verifica
1. I revisori applicano misure rafforzate di adeguata verifica della clientela in presenza di un elevato rischio di riciclaggio o finanziamento del terrorismo, risultante da specifiche previsioni normative – in particolare, dall’art. 24, comma 5, del decreto antiriciclaggio – oppure da loro autonome valutazioni.
2. I fattori di elevato rischio di riciclaggio e di finanziamento del terrorismo previsti dall’art. 24 del decreto antiriciclaggio e rilevanti in relazione alle attività svolte dai revisori sono riepilogati nell’allegato 2, corredati, ove opportuno, da esempi esplicativi. Nel medesimo allegato 2 si forniscono, ai sensi dell’art. 24, comma 4, dello stesso decreto, ulteriori fattori di rischio rilevanti ai fini dell’applicazione delle misure rafforzate.
3. I revisori definiscono e formalizzano le specifiche misure di adeguata verifica rafforzata da assumere nei confronti dei clienti a rischio elevato, anche in base alla tipologia di attività professionale prestata, e conservano evidenza scritta dell’applicazione delle stesse.
4. Le misure di adeguata verifica rafforzata possono consistere:
a) nell’acquisizione di informazioni aggiuntive sul cliente e sul titolare effettivo. Rilevano, in particolare, le informazioni sulla reputazione e su eventuali atti pregiudizievoli concernenti il cliente e/o il titolare effettivo (anche in relazione ad attività esercitate in passato), nonché i familiari e i soggetti con i quali gli stessi intrattengono stretti rapporti d’affari;
b) nell’approfondimento degli elementi posti a fondamento delle valutazioni sullo scopo e sulla natura del rapporto;
c) nell’intensificazione della frequenza dei controlli volti a rilevare aggiornamenti delle informazioni acquisite e variazioni del profilo di rischio;
d) nell’esecuzione di analisi e controlli più approfonditi, estesi e/o frequenti nel corso dello svolgimento della prestazione professionale, al fine di rilevare eventuali elementi di sospetto di riciclaggio o di finanziamento del terrorismo.
5. I revisori adottano misure rafforzate di adeguata verifica con riferimento ai clienti per i quali abbiano inviato alla UIF una segnalazione di operazione sospetta. Dette misure sono applicate fino a quando i revisori ritengano di poter escludere l’esistenza di un elevato rischio di riciclaggio o di finanziamento del terrorismo.
6. Ai sensi dell’art. 25, comma 4, del decreto antiriciclaggio, i revisori definiscono adeguate procedure, basate sul rischio associato all’incarico professionale, per verificare se il cliente o il titolare effettivo sia una persona politicamente esposta (PEP). A tal fine, i revisori, oltre ad ottenere le pertinenti informazioni dal cliente, si avvalgono di ulteriori fonti, quali, ad esempio, siti internet ufficiali delle Autorità italiane o dei paesi di provenienza delle PEP ovvero database di natura commerciale.
7. Qualora il cliente o il titolare effettivo rientri nella definizione di PEP, l’avvio o la prosecuzione del rapporto sono autorizzati da un amministratore, dal rappresentante legale o da persona che svolga funzioni equivalenti, ai quali sia stata conferita apposita delega. I medesimi soggetti sono competenti a decidere anche in merito all’eventuale successiva perdita dello status di persona politicamente esposta e alla conseguente applicazione di misure ordinarie di adeguata verifica. Inoltre, i revisori adottano misure rafforzate adeguate e assicurano il controllo costante della prestazione professionale ai sensi del comma 4, lettera d), del presente articolo.
8. In presenza di un elevato rischio di riciclaggio o di finanziamento del terrorismo, i revisori continuano ad applicare misure di adeguata verifica rafforzata nei confronti di soggetti, originariamente individuati come PEP, che abbiano cessato di rivestire le relative cariche pubbliche da più di un anno.
9. Qualora i revisori non siano in grado di applicare le misure di adeguata verifica rafforzata, non accettano l’incarico ovvero pongono fine al rapporto già in essere e valutano se inviare una segnalazione di operazione sospetta.
Art. 32. Esecuzione degli obblighi di adeguata verifica da parte di terzi
1. I revisori possono demandare l’assolvimento degli obblighi di adeguata verifica della clientela di cui all’art. 18, comma 1, lettere a), b) e c), del decreto antiriciclaggio ai soggetti terzi indicati nell’art. 26 del medesimo decreto.
2. In caso di ricorso a terzi, i revisori si attengono alle modalità di esecuzione di cui all’allegato 3. Restano fermi a norma dell’art. 28 del decreto antiriciclaggio, la responsabilità finale dei revisori per l’osservanza degli obblighi di adeguata verifica della clientela, nonché i doveri dei revisori stessi di valutare gli elementi raccolti e le verifiche effettuate dai terzi, di verificare la veridicità dei documenti ricevuti e, in caso di dubbi, di provvedere in via diretta agli obblighi di adeguata verifica.
Art. 33. Obblighi di conservazione
1. I revisori conservano in formato cartaceo o elettronico i documenti, i dati e le informazioni acquisiti nell’assolvimento degli obblighi di adeguata verifica, al fine di:
a) dimostrare alle Autorità di vigilanza le procedure seguite e le misure adottate per adempiere agli obblighi di legge;
b) consentire analisi e approfondimenti da parte della UIF o di qualsiasi altra Autorità competente;
c) consentirne l’utilizzo nell’ambito di indagini o procedimenti su operazioni di riciclaggio, di finanziamento del terrorismo o altri reati.
2. I documenti, le informazioni e i dati acquisiti nel corso del rapporto professionale, ivi compresi quelli connessi all’assolvimento degli obblighi di collaborazione attiva:
a) devono essere conservati in un fascicolo unitario e completo e devono essere prontamente disponibili su richiesta delle Autorità competenti;
b) sono conservati per un periodo di dieci anni decorrenti dalla data di chiusura del rapporto professionale.
3. Al fine di assicurare immediatezza e facilità di consultazione e utilizzo dei dati e delle informazioni dei clienti, i revisori si avvalgono di archivi informatici in cui provvedono a registrare:
a) la data di instaurazione del rapporto (data dell’accettazione dell’incarico professionale) e di cessazione dello stesso;
b) i dati identificativi del cliente e del titolare effettivo e le informazioni sullo scopo e la natura della prestazione professionale;
c) il profilo di rischio di riciclaggio e finanziamento del terrorismo associato al cliente;
d) il settore di attività economica del cliente (secondo la classificazione Ateco pubblicata dall’Istat).
4. Le registrazioni devono essere effettuate entro trenta giorni dalla data di accettazione o cessazione dell’incarico, ovvero di variazione dei dati di cui ai punti b), c) e d) del comma precedente.
Le medesime registrazioni devono essere conservate per un periodo di dieci anni decorrenti dalla data di chiusura del rapporto professionale.
5. Le modalità di conservazione e registrazione adottate dai revisori devono essere idonee a prevenire qualsiasi perdita dei dati, dei documenti e delle informazioni e devono risultare conformi alle prescrizioni di cui all’art. 32, comma 2, del decreto antiriciclaggio. Le modalità tecniche adottate per la registrazione assicurano in particolare l’ordine cronologico delle registrazioni e la tracciabilità, in caso di rettifiche, delle scritture di modifica e delle registrazioni antecedenti alla modifica.
6. Gli obblighi di registrazione di cui al comma 3 del presente articolo, fermo restando l’obbligo di conservazione dei dati e delle informazioni ivi elencate, non si applicano ai rapporti con:
a) intermediari bancari e finanziari di cui all’art. 3, comma 2, del decreto antiriciclaggio, esclusi quelli di cui alle lettere i), o), s) e v);
b) intermediari bancari e finanziari comunitari o con sede in un paese terzo caratterizzato da un basso rischio di riciclaggio e di finanziamento del terrorismo, secondo i criteri di valutazione del rischio geografico indicati nell’allegato 1;
c) tesoreria provinciale dello Stato o Banca d’Italia.
7. La conservazione dei documenti presso un autonomo centro di servizi, eventualmente individuato a livello di Rete di appartenenza ovvero presso terzi, è consentita, ferma restando la responsabilità dei revisori e purché ciò non comprometta la pronta disponibilità dei documenti stessi e l’accesso diretto e immediato al sistema di conservazione da parte dei revisori medesimi.
Allegato 1
Fattori di basso rischio
A) Fattori di basso rischio relativi al cliente e al titolare effettivo:
1) società ammesse alla quotazione su un mercato regolamentato e sottoposte ad obblighi di comunicazione che includono quelli di assicurare un’adeguata trasparenza della titolarità effettiva;
2) pubbliche amministrazioni ovvero istituzioni o organismi che svolgono funzioni pubbliche, conformemente al diritto dell’Unione europea; in presenza di PEP, le misure semplificate che possono essere adottate per detti soggetti sono limitate all’assolvimento degli obblighi di identificazione del cliente e del titolare effettivo e di verifica dell’identità degli stessi con le modalità indicate dall’art. 30, comma 3, lettera a) e lettera b) (punto i) del presente regolamento;
3) clienti che sono residenti o hanno sede in aree geografiche a basso rischio. Tale fattore ricorre nei casi in cui il cliente e/o il titolare effettivo siano residenti, abbiano la sede principale delle proprie attività ovvero rilevanti collegamenti con paesi o aree geografiche «a basso rischio», in base ai criteri della lettera B);
4) intermediari bancari e finanziari di cui all’art. 3, comma 2, del decreto antiriciclaggio – ad eccezione di quelli di cui alle lettere i), o), s) e v) – ed intermediari bancari e finanziari comunitari o con sede in un Paese terzo con un efficace regime di contrasto al riciclaggio e al finanziamento del terrorismo. Nel valutare la sussistenza in concreto di un basso rischio, i revisori considerano, tra l’altro, l’eventuale adozione nei confronti dell’intermediario, di sanzioni di vigilanza o di misure di intervento, per inosservanza degli obblighi antiriciclaggio.
B) Fattori di basso rischio geografici:
1) paesi comunitari;
2) paesi terzi dotati di efficaci sistemi di prevenzione del riciclaggio. Si fa riferimento ai paesi con presidi antiriciclaggio e di contrasto al finanziamento del terrorismo comparabili a quelli previsti dalla quarta direttiva antiriciclaggio e che sono associati a bassi livelli di commissione dei reati presupposto;
3) paesi terzi che fonti autorevoli e indipendenti valutano essere caratterizzati da un basso livello di corruzione o di permeabilità ad altre attività criminose. Esempi di fonti autorevoli e indipendenti sono le «Analisi nazionali del rischio» (cd. National Risk Assessment); le relazioni pubblicate da autorità investigative e giudiziarie; i rapporti adottati dall’OCSE in merito all’attuazione della Convenzione contro le pratiche di corruzione; i rapporti mondiali sulla droga (World Drug Report) pubblicati dall’ufficio delle Nazioni Unite contro la droga e il crimine;
4) paesi terzi che, sulla base di fonti autorevoli e indipendenti (es. rapporti di valutazione reciproca ovvero rapporti pubblici di valutazione dettagliata), siano dotati di un efficace sistema di prevenzione del riciclaggio e del finanziamento del terrorismo. Esempi di fonti autorevoli e indipendenti sono i rapporti di valutazione reciproca adottati dal GAFI o da organismi internazionali analoghi (ad esempio, MoneyVal); l’elenco del GAFI dei Paesi a rischio elevato e non collaborativi; i rapporti adottati dal Fondo monetario internazionale nell’ambito del Financial Sector Assessment Program.
Allegato 2
Fattori di rischio elevato
A) Fattori di rischio elevato relativi al cliente e al titolare effettivo:
1) prestazioni professionali instaurate ovvero eseguite in circostanze anomale. A titolo esemplificativo, sono prese in considerazione circostanze in cui il cliente, nella fase preordinata al conferimento dell’incarico o nel corso delle fasi successive, è riluttante nel fornire le informazioni richieste, varia ripetutamente le informazioni fornite, dà informazioni incomplete o erronee, non è in grado di produrre documentazione in merito alla propria identità (salvo i casi legittimi, quali quello dei richiedenti asilo), fornisce informazioni non coincidenti con quelle rilevate dal revisore nello svolgimento dell’attività professionale;
2) clienti e/o titolare effettivo residenti o aventi sede in aree geografiche a rischio elevato. Tale fattore ricorre nei casi in cui il cliente e/o il titolare effettivo sono residenti, ovvero hanno la sede principale delle proprie attività ovvero rilevanti collegamenti con paesi «a rischio elevato» secondo i criteri di cui alla lettera B del presente allegato;
3) indici reputazionali negativi relativi al cliente (nonché ai relativi esponenti delle funzioni di amministrazione e direzione) e/o al titolare effettivo. Rileva, tra l’altro, la sussistenza di: procedimenti penali, quando tale informazione è notoria o comunque nota al revisore e non coperta da obblighi di segretezza che ne impediscono l’utilizzo da parte del revisore stesso ai sensi del codice di procedura penale; procedimenti per danno erariale; procedimenti per responsabilità amministrativa ai sensi del decreto legislativo 8 giugno 2001, n. 231; eventuali sanzioni amministrative irrogate per violazione delle disposizioni antiriciclaggio a carico del cliente o del relativo titolare effettivo. Nel valutare le notizie negative provenienti dai media o da altre fonti informative i revisori ne considerano la fondatezza e l’attendibilità basandosi, tra l’altro, sulla qualità e sull’indipendenza di tali fonti informative e sulla ricorrenza di tali informazioni. Le informazioni inerenti alla reputazione rilevano anche con riguardo a soggetti notoriamente legati al cliente e/o al titolare effettivo in virtù, ad esempio, di rapporti familiari o d’affari. Resta ferma la necessità di verificare la ricorrenza di nominativi nelle liste delle persone o degli enti associati ai fini dell’applicazione degli obblighi di congelamento previsti dai regolamenti comunitari o dai decreti emanati dal MEF ai sensi del decreto legislativo 22 giugno 2007, n. 109;
4) strutture qualificabili come veicoli di interposizione patrimoniale. E’ il caso, a titolo esemplificativo, di trust, società fiduciarie, fondazioni e ulteriori soggetti giuridici che possono essere strutturati in maniera tale da beneficiare dell’anonimato e permettere rapporti con banche di comodo o con società aventi azionisti fiduciari. Con riferimento alle società fiduciarie, la vigilanza della Banca d’Italia costituisce un fattore di mitigazione del rischio, che può determinare l’applicazione di misure ordinarie di adeguata verifica. Nell’ambito di operazioni di cartolarizzazione, rileva l’improprio utilizzo delle società veicolo volto a schermare la titolarità effettiva di determinate attività, ostacolando la corretta ricostruzione dei flussi finanziari da queste generati;
5) società che hanno emesso azioni al portatore o siano partecipate da fiduciari (cd. nominee shareholder). Si fa riferimento, nella prima ipotesi, a casi di società costituite o patrimonializzate attraverso strumenti al portatore; 6) tipo di attività economica caratterizzata da elevato utilizzo di contante. Rileva la riconducibilità delle attività economiche svolte dal cliente a tipologie particolarmente esposte ai rischi di riciclaggio quali il settore dei compro oro, di cambio valuta, del gioco o delle scommesse, attività prestata da agenti in attività finanziaria e «soggetti convenzionati e agenti» nel servizio di rimessa di denaro;
7) tipo di attività economica riconducibile a settori particolarmente esposti a rischi di corruzione. Si tratta, in particolare, di settori economici interessati dall’erogazione di fondi pubblici, anche di origine comunitaria, appalti pubblici, sanità, edilizia, commercio di armi, difesa, industria bellica, industria estrattiva, raccolta e smaltimento dei rifiuti, produzione di energie rinnovabili;
8) cliente o titolare effettivo che ricoprono cariche pubbliche in ambiti non ricompresi dalla nozione di PEP ma per i quali comunque sussiste una rilevante esposizione al rischio di corruzione. Si fa riferimento, ad esempio, agli amministratori locali, a soggetti con ruoli apicali nella pubblica amministrazione o in enti pubblici, consorzi e associazioni di natura pubblicistica;
9) assetto proprietario anomalo o eccessivamente complesso data la natura dell’attività svolta. Occorre considerare la forma giuridica adottata dal cliente, specie ove presenti particolari elementi di complessità od opacità che impediscono o ostacolano l’individuazione del titolare effettivo o del reale oggetto sociale o di eventuali collegamenti azionari o finanziari con soggetti aventi sede in aree geografiche a rischio elevato.
B) Fattori di rischio elevato geografici:
1) paesi terzi ad alto rischio individuati dalla Commissione europea nell’esercizio dei poteri di cui agli articoli 9 e 64 della quarta direttiva antiriciclaggio;
2) paesi terzi che fonti autorevoli e indipendenti ritengono carenti di efficaci presidi di prevenzione del riciclaggio. Rientrano tra le fonti autorevoli e indipendenti: i rapporti di valutazione reciproca elaborati dal GAFI o da organismi internazionali analoghi (ad esempio, MoneyVal); l’elenco pubblicato dal GAFI dei Paesi a rischio elevato e non collaborativi; le relazioni pubblicate dal Fondo Monetario Internazionale nell’ambito del programma di valutazione del settore finanziario (Financial Sector Assessment Programme, FSAP);
3) paesi e aree geografiche valutati ad elevato livello di corruzione o di permeabilità ad altre attività criminose da fonti autorevoli e indipendenti. Tra le fonti autorevoli e indipendenti possono rientrare le «Analisi nazionali del rischio» (cd. National Risk Assessment); le relazioni pubblicate da autorità investigative e giudiziarie; i rapporti adottati dall’OCSE in merito all’attuazione della Convenzione OCSE contro le pratiche di corruzione nonché i rapporti mondiali sulla droga (World Drug Report) pubblicati dall’ufficio delle Nazioni Unite contro la droga e il crimine;
4) paesi soggetti a sanzioni, embargo o misure analoghe adottate dai competenti organismi nazionali e internazionali. Al riguardo, i revisori osservano i provvedimenti emanati dall’Unione europea e le altre misure restrittive adottate ai sensi dell’art. 4 del decreto legislativo 22 giugno 2007, n. 109 in attuazione di risoluzioni del Consiglio di sicurezza delle Nazioni Unite, per il contrasto del finanziamento del terrorismo e del finanziamento dei programmi di proliferazione delle armi di distruzione di massa e nei confronti dell’attività di paesi che minacciano la pace e la sicurezza internazionale;
5) paesi e aree geografiche che finanziano o sostengono attività terroristiche o nei quali operano organizzazioni terroristiche. Sono di ausilio nell’individuazione di tali paesi i rapporti in materia di terrorismo pubblicati dal GAFI o da altre organizzazioni e agenzie internazionali, quali Europol;
6) paesi valutati da fonti autorevoli e indipendenti come carenti sotto il profilo della conformità agli standard internazionali sulla trasparenza e lo scambio di informazioni a fini fiscali. Rientrano tra le fonti autorevoli e indipendenti i rapporti adottati dall’OCSE sulla trasparenza fiscale e lo scambio d’informazioni; le valutazioni sull’impegno del paese nello scambio automatico delle informazioni finanziarie per finalità fiscali ai sensi del cd. Common Reporting Standard; rilevano inoltre i rating assegnati alle raccomandazioni nn. 9, 24 e 25 del GAFI e ai «Risultati immediati» (Immediate Outcomes) n. 2 e n. 5 nei rapporti di valutazione reciproca internazionali.
Allegato 3
Esecuzione da parte di terzi degli obblighi di adeguata verifica
Gli obblighi di adeguata verifica si considerano assolti attraverso un’idonea attestazione rilasciata dal terzo che abbia provveduto ad adempierli direttamente, nell’ambito di un rapporto continuativo o dell’esecuzione di una prestazione professionale ovvero del compimento di un’operazione occasionale.
L’attestazione deve essere univocamente riconducibile al terzo e deve essere trasmessa dal terzo attestante (e non dal cliente) al revisore che se ne avvale.
L’attestaz ione deve espressamente confermare il corretto adempimento degli obblighi antiriciclaggio da parte dell’attestante, in relazione alle attività di verifica effettuate, nonché la coincidenza tra il cliente verificato dal terzo e il soggetto a cui l’attestazione si riferisce. Il contenuto dell’attestazione varia a seconda dello specifico obbligo di adeguata verifica cui essa è diretta; in base a tale criterio, essa deve contenere:
a) i dati identificativi del cliente e del titolare effettivo ai fini dell’adempimento dell’obbligo di identificazione;
b) l’indicazione delle tipologie delle fonti utilizzate per l’accertamento e per la verifica dell’identità;
c) le informazioni sulla natura e sullo scopo della prestazione professionale.
Il revisore assicura che, oltre all’attestazione, i terzi siano in grado di trasmettere tempestivamente copia dei documenti e delle informazioni acquisiti, quando il revisore stesso ne faccia richiesta.
L’attestazione può essere resa in forma cartacea o informatica.
Spetta al revisore, responsabile dell’adeguata verifica, valutare se gli elementi raccolti e le verifiche effettuate dai soggetti terzi siano idonei e sufficienti ai fini dell’assolvimento degli obblighi previsti dalla legge; in caso contrario il revisore provvede, a seconda dei casi e delle circostanze, a:
informare il terzo attestante delle eventuali irregolarità o incongruenze riscontrate nella documentazione ricevuta;
apportare le necessarie rettifiche o integrazioni;
adempiere in via diretta agli obblighi di adeguata verifica;
astenersi dall’accettare l’incarico professionale, valutando se effettuare una segnalazione alla UIF qualora ricorrano i presupposti di cui all’art. 35 del decreto antiriciclaggio (la scelta di cui al presente alinea va assunta, in particolare, qualora il revisore si trovi nell’impossibilità di rispettare gli obblighi di adeguata verifica).
Nell’ambito delle modalità di raccolta e scambio delle informazioni con i terzi, il revisore:
definisce le fasi dell’adeguata verifica demandate ai terzi, individua i dati e le informazioni che è necessario siano trasmesse dai terzi e le modalità e la tempistica della trasmissione;
predispone strumenti, in formato cartaceo o elettronico, per lo scambio tempestivo dei flussi informativi;
verifica, nei limiti della diligenza professionale, la veridicità dei documenti ricevuti e la correttezza e attendibilità delle informazioni desunte dagli stessi;
acquisisce, ove necessario, informazioni supplementari, dai terzi stessi, dal cliente ovvero da altre fonti.