IVASS – Provvedimento 13 luglio 2021, n. 111
Disposizioni sulle procedure di mitigazione del rischio di riciclaggio per individuare i requisiti dimensionali e organizzativi in base ai quali i soggetti obbligati istituiscono la funzione antiriciclaggio e di revisione interna, nominano il titolare della funzione antiriciclaggio e di revisione interna e il responsabile per la segnalazione delle operazioni sospette, emanate ai sensi dell’articolo 7, comma 1 del decreto legislativo 21 novembre 2007, n. 231, in attuazione dell’articolo 16, comma 2 del medesimo decreto legislativo. Modifiche al Regolamento IVASS n. 44 del 12 febbraio 2019
Art. 1
Fonti normative
- Il presente provvedimento è adottato ai sensi degli articoli 7, comma 1, lettera a), 15, comma 1, e 16, comma 2, del decreto legislativo 21 novembre 2007, n. 231.
Art. 2
Definizioni
Ai fini del presente provvedimento valgono le definizioni e le classificazioni dettate dal decreto legislativo 7 settembre 2005, n. 209 e dal regolamento IVASS n. 44 del 12 febbraio 2019. In aggiunta, agli effetti del presente provvedimento si intendono per:
- a) «funzione antiriciclaggio»: la funzione di cui all’articolo 13 del regolamento IVASS n. 44/2019;
- b) «agenti e broker assicurativi»: le persone fisiche o le società aventi residenza o sede legale in Italia – iscritte nel registro degli intermediari assicurativi e riassicurativi di cui all’articolo 109, comma 2, lettere a) e b), del codice – nonché i soggetti aventi residenza o sede legale in uno Stato membro dell’Unione europea, diverso dall’Italia, o in un Paese aderente allo Spazio economico europeo, che svolgono attività analoga a quella dei menzionati intermediari e operano in Italia in regime di stabilimento – annotati nell’elenco annesso al registro degli intermediari assicurativi e riassicurativi a seguito della comunicazione prevista dall’articolo 116-quinquies del codice – limitatamente alla distribuzione nel territorio della Repubblica italiana di prodotti assicurativi rientranti nei rami di attività elencati all’articolo 2, comma 1, del codice;
- c) «premi lordi contabilizzati»: la voce II.1.a del bilancio di esercizio individuale italiano (ovvero le corrispondenti voci dei bilanci delle imprese operanti all’estero, sulla base del raccordo operato al fine di redigere il bilancio consolidato) di cui all’allegato 1 al regolamento ISVAP n. 22/2008 relativo agli schemi di stato patrimoniale e di conto economico.
Art. 3
Ambito di applicazione
Il presente provvedimento si applica, limitatamente all’operatività nei rami vita di cui all’articolo 2, comma 1, del codice:
- a) alle sedi secondarie di imprese di assicurazione con sede legale in un altro Stato membro dell’Unione europea o in un Paese aderente allo Spazio economico europeo (di seguito «sedi secondarie»);
- b) alle imprese stabilite senza succursale di cui al successivo articolo 4;
- c) agli intermediari assicurativi;
- d) agli intermediari assicurativi stabiliti senza succursale di cui al successivo articolo 4.
Art. 4
Imprese e intermediari assicurativi stabiliti senza succursale
- Le disposizioni del presente provvedimento si applicano alle imprese con sede legale in un altro Stato membro dell’Unione europea o in un Paese aderente allo Spazio economico europeo – diverse da quelle considerate stabilite ai sensi dell’articolo 23, comma 1-bis, del codice – qualora le stesse congiuntamente:
- a) operino sul territorio italiano in regime di libera prestazione di servizi nei rami di cui all’articolo 2, comma 1, del codice;
- b) distribuiscano sul territorio italiano prodotti assicurativi attraverso una rete di intermediari assicurativi appartenenti ad una delle categorie di cui agli articoli 109, comma 2, lettere a), b), c), d), e 116-quater o 116-quinquies del codice;
- c) conseguano premi lordi contabilizzati (comunicati all’IVASS dalla sede legale dell’impresa stessa) superiori a euro 5 milioni.
- Le disposizioni del presente provvedimento si applicano altresì agli intermediari assicurativi che abbiano residenza o sede legale in un altro Stato membro dell’Unione europea o in un Paese aderente allo Spazio economico europeo, qualora distribuiscano sul territorio italiano prodotti assicurativi nei rami previsti dall’articolo 2, comma 1 del codice in regime di libera prestazione di servizi tramite intermediari assicurativi di cui all’articolo 109, comma 2, lettera e) del codice.
Art. 5
Istituzione della funzione antiriciclaggio
- Salva la facoltà di esternalizzare la funzione antiriciclaggio anche al di fuori del gruppo, o di attribuirne i compiti alla sede centrale nel rispetto delle disposizioni di cui gli articoli 16 e 23 del Regolamento IVASS n. 44/2019, le sedi secondarie, che distribuiscono sul territorio italiano esclusivamente prodotti standardizzati definiti a basso rischio dalle disposizioni sui fattori di rischio, possono attribuire i compiti della funzione antiriciclaggio:
- a) alla funzione di verifica della conformità alla normativa antiriciclaggio istituita presso la sede centrale dell’impresa, a condizione che almeno uno degli addetti a tale funzione,
- i) se dipendente della sede centrale, venga distaccato a tempo parziale in Italia,
- ii) ove non sia un dipendente della sede centrale, sia comunque domiciliato per la carica in Italia;
- b) a uno dei rappresentanti generali, a condizione che al rappresentante generale non siano attribuite deleghe che ne pregiudichino l’autonomia.
- Gli agenti e broker assicurativi istituiscono la funzione antiriciclaggio qualora ricorrano congiuntamente i seguenti requisiti:
- a) numero di dipendenti o collaboratori iscritti – alla fine di ciascun anno solare – nella sezione E del Registro degli intermediari assicurativi e riassicurativi uguale o superiore a trenta;
- b) distribuzione di prodotti assicurativi in relazione ai quali il volume di premi lordi contabilizzati dalle imprese – comunicato da queste ultime all’IVASS e agli stessi intermediari – sia superiore a euro 15 milioni.
Art. 6
Titolare della funzione antiriciclaggio
- Nel caso in cui si avvalgano della facoltà di cui all’articolo 5, comma 1, lettera a), le sedi secondarie possono nominare titolare della funzione antiriciclaggio in relazione all’attività svolta sul territorio italiano, il titolare dell’omologa funzione istituita presso la sede centrale della stessa impresa, a condizione che la persona designata,
- a) se dipendente della sede centrale, venga distaccata a tempo parziale in Italia oppure,
- b) ove non sia un dipendente della sede centrale, sia comunque domiciliata per la carica in Italia.
- Gli agenti e broker assicurativi in possesso dei requisiti di cui all’articolo 5, comma 2, del presente provvedimento che svolgono la propria attività in forma di impresa individuale non sono tenuti alla nomina del titolare della funzione antiriciclaggio. Di quest’ultima, in tale ipotesi, risponde direttamente l’agente o broker persona fisica.
- Il titolare nominato ai sensi del comma 1 possiede i requisiti di onorabilità, professionalità e indipendenza previsti dagli articoli 10, comma 1, lettera b) e 15, comma 2 del regolamento IVASS n. 44/2019.
Art. 7
Segnalazione delle operazioni sospette
- Le imprese stabilite senza succursale nominano un responsabile per la segnalazione delle operazioni sospette che svolge i compiti di cui all’articolo 18, commi 6, 7 e 8, del regolamento IVASS n. 44/2019 in relazione ai clienti cui i prodotti assicurativi vengono distribuiti sul territorio italiano dagli intermediari assicurativi con cui le stesse imprese hanno stipulato contratti/accordi di collaborazione.
- Per tale incarico può essere designato il responsabile per la segnalazione delle operazioni sospette:
- a) di uno dei seguenti soggetti, a condizione che essi siano tenuti ad istituire la propria funzione antiriciclaggio,
- i) la sede secondaria italiana, se istituita per l’esercizio dell’attività anche in regime di stabilimento;
- ii) l’ultima società controllante italiana o con sede in uno Stato membro dell’Unione europea o in un paese aderente allo Spazio economico europeo.
iii) una qualunque altra impresa, con sede in uno Stato membro dell’Unione europea o in un paese aderente allo Spazio economico europeo, facente parte di un gruppo italiano – di cui all’articolo 2, comma 1, lettera j), del regolamento IVASS n. 44/2019 – ovvero di un gruppo estero di cui all’articolo 3, paragrafo 15, della direttiva (UE) 2015/849;
- b) della sede centrale della stessa impresa a condizione che la persona designata,
- i) se dipendente della sede centrale, venga distaccata anche a tempo parziale in un ufficio in Italia, anche di terzi, ma comunque nella disponibilità dell’impresa,
- ii) qualora non sia un dipendente della sede centrale, sia comunque domiciliata per la carica in Italia;
- c) di un intermediario assicurativo di cui all’articolo 109, comma 2, lettera d), che distribuisca in Italia i prodotti del comparto vita dell’impresa;
- d) di un altro intermediario assicurativo, obbligato ad istituire la funzione antiriciclaggio e a nominare il relativo titolare, che – al momento della designazione – distribuisca in Italia i prodotti del comparto vita dell’impresa da almeno due anni.
- Gli intermediari assicurativi stabiliti senza succursale trasmettono le segnalazioni di operazioni sospette al responsabile per le segnalazioni sospette dell’impresa di riferimento o, qualora quest’ultima non sia individuabile, direttamente alla UIF.
Art. 8
Funzione di revisione interna
- Le politiche, le procedure e i controlli interni in materia di antiriciclaggio delle sedi secondarie sono verificati da una funzione di revisione indipendente. A tal fine, i compiti descritti nell’articolo 19 del regolamento IVASS n. 44/2019 possono essere svolti dalla funzione di revisione interna istituita presso:
- a) l’ultima società controllante italiana o con sede in uno Stato membro dell’Unione europea o in un paese aderente allo Spazio economico europeo;
- b) una qualunque altra impresa, con sede in uno Stato membro dell’Unione europea o in un paese aderente allo Spazio economico europeo, facente parte di un gruppo italiano – di cui all’articolo 2, comma 1, lettera j), del regolamento IVASS n. 44/2019 – ovvero di un gruppo estero di cui all’articolo 3, paragrafo 15 della direttiva (UE) 2015/849;
- c) la sede centrale dell’impresa.
Ciò è consentito a condizione che almeno il titolare di tale funzione:
- i) se dipendente della sede centrale, venga distaccato a tempo parziale in Italia oppure,
- ii) ove non sia un dipendente della sede centrale, sia comunque domiciliato per la carica in Italia.
- Gli agenti e i broker assicurativi istituiscono la funzione di revisione interna qualora siano costituiti in forma di società e ricorrano congiuntamente i seguenti requisiti:
- a) numero di dipendenti o collaboratori iscritti – alla fine di ciascun anno solare – nella sezione E del Registro degli intermediari assicurativi e riassicurativi complessivamente pari o superiore a 100;
- b) distribuzione di prodotti assicurativi in relazione ai quali il volume di premi lordi contabilizzati dalle imprese – comunicato da queste ultime all’IVASS e agli stessi intermediari – sia superiore a euro 20 milioni.
Art. 9
Provvedimento di distacco
- Nel caso venga scelta l’opzione del distacco a tempo parziale ai sensi degli articoli 5, 7 e 8, il provvedimento di distacco definisce – per i titolari delle funzioni antiriciclaggio e di revisione interna nonché per il responsabile per la segnalazione delle operazioni sospette – la periodicità di assegnazione almeno bimestrale.
Art. 10
Intervallo temporale rilevante per il possesso dei requisiti per l’istituzione delle funzioni di controllo
- Ai fini dell’istituzione delle funzioni antiriciclaggio e di revisione interna nonché della nomina del responsabile per la segnalazione delle operazioni sospette, i requisiti previsti dagli articoli 4, comma 1, 5 e 8 devono essere posseduti per almeno un biennio.
- Le sedi secondarie, gli agenti e i broker assicurativi verificano ogni anno il ricorrere dei previsti requisiti in ciascun anno del biennio precedente. In caso positivo, a decorrere dall’anno successivo:
- a) gli agenti e i broker assicurativi assolvono gli obblighi relativi all’istituzione della funzione antiriciclaggio e della funzione di revisione interna;
- b) le sedi secondarie possono attribuire i compiti e la titolarità della funzione antiriciclaggio ai sensi degli articoli 5, comma 1 e 6, comma 1.
- Gli agenti e i broker assicurativi possono dismettere le funzioni a decorrere dall’anno successivo a quello nel corso del quale verificano di non aver posseduto in alcun anno del triennio precedente i previsti requisiti.
- Le imprese – incluse quelle di cui all’articolo 28-septies del regolamento IVASS n. 44/2019 – comunicano a ciascun agente e broker assicurativo l’ammontare, distribuito annualmente da ognuno di essi, che ha concorso alla formazione della voce di bilancio «premi lordi contabilizzati»; tale comunicazione è effettuata tramite posta elettronica certificata entro dieci giorni dalla trasmissione degli stessi dati all’IVASS.
- Ai fini delle valutazioni di cui ai commi 1, 2 e 3, gli agenti e i broker assicurativi:
- a) utilizzano gli importi comunicati dalle imprese per le quali distribuiscono prodotti assicurativi;
- b) segnalano alle imprese la mancata ricezione della comunicazione e – trascorsi infruttuosamente trenta giorni dal termine di cui all’articolo 28-sexies del regolamento IVASS n. 44/2019 – utilizzano i dati di cui dispongono, dando comunicazione all’IVASS del dettaglio relativo a ciascuna impresa rimasta inadempiente.
Art. 11
Comunicazioni
- Gli agenti e i broker assicurativi comunicano all’IVASS:
- a) l’istituzione delle funzioni antiriciclaggio e di revisione interna e la nomina dei rispettivi titolari, nonché del responsabile per la segnalazione delle operazioni sospette qualora sia un soggetto diverso;
- b) la dismissione di tali funzioni in conseguenza delle valutazioni di cui all’articolo 10, comma 3.
- Gli intermediari assicurativi comunicano all’IVASS gli importi di cui all’articolo 10, comma 5, lettera a), relativi alla distribuzione per conto di imprese in regime di libera prestazione di servizi che non abbiano comunicato loro le generalità o il domicilio del responsabile per la segnalazione di operazioni sospette.
- Le sedi secondarie comunicano all’IVASS:
- a) l’esercizio delle facoltà di cui agli articoli 5, comma 1, 6, comma 1 e 8, comma 1;
- b) l’istituzione della funzione antiriciclaggio presso la sede secondaria in conseguenza delle valutazioni di cui all’articolo 10, comma 2 o della rinuncia ad avvalersi delle facoltà precedentemente esercitate ai sensi dell’articolo 10, comma 2, lettera b).
- Le imprese stabilite senza succursale comunicano generalità e domicilio del responsabile per la segnalazione delle operazioni sospette alla UIF, all’IVASS e a ciascun intermediario assicurativo autorizzato a distribuire i propri prodotti in Italia.
- Le comunicazioni sono effettuate:
- a) entro il trenta settembre dell’anno che precede quello di istituzione o dismissione delle funzioni, o di nomina dei rispettivi titolari o del responsabile per la segnalazione delle operazioni sospette di cui all’articolo 7, se dipendenti dalla valutazione annuale circa il possesso dei requisiti di cui agli articoli precedenti;
- b) entro i trenta giorni successivi agli eventi di cui alla lettera a), qualora derivino da circostanze diverse dalla valutazione annuale circa il possesso dei requisiti di cui agli articoli precedenti.
Art. 12
Applicabilità agli intermediari assicurativi delle Sezioni da I a IV del Capo II del regolamento IVASS n. 44/2019
- Ove non sussista un organo amministrativo come definito dall’articolo 2, comma 1, lettera p), del regolamento IVASS n. 44/2019, i compiti attribuiti all’organo amministrativo e all’alta direzione competono:
- a) alla persona fisica iscritta in qualità di intermediario assicurativo in forma di impresa individuale;
- b) a tutti gli amministratori in caso di società in cui l’amministrazione spetti – disgiuntamente o congiuntamente – a più persone;
- c) all’unico socio amministratore o all’amministratore unico negli altri casi.
- Le società di capitali che hanno istituito un organo di controllo applicano le disposizioni dell’articolo 12 del regolamento IVASS n. 44/2019.
- I soggetti tenuti ad istituire la funzione antiriciclaggio o quella di revisione interna applicano – limitatamente al ruolo di tali funzioni nel sistema di controllo interno sul rischio di riciclaggio – le disposizioni della sezione I del Capo II del regolamento IVASS n. 44/2019.
- Gli agenti e i broker assicurativi privi dei requisiti definiti nell’articolo 5, comma 2:
- a) applicano le disposizioni dell’articolo 9, dell’articolo 10, comma 1, lettera h), e dell’articolo 11, comma 1, lettera g), del regolamento IVASS n. 44/2019,
- b) attuano misure organizzative ed operative idonee a gestire il rischio di riciclaggio in conformità con quanto definito negli accordi di distribuzione,
- c) si attengono – qualora la distribuzione assicurativa sia svolta per conto di più imprese – ai requisiti più stringenti prescritti da una di esse; ciò con riferimento a ciascun cliente e ad ogni ambito degli obblighi di adeguata verifica e di collaborazione attiva.
- Gli agenti e i broker assicurativi che posseggono i requisiti definiti nell’articolo 5, comma 2:
- a) adottano i propri orientamenti strategici, la propria politica aziendale e il documento analitico tenendo conto degli aspetti disciplinati – per ciascun ambito degli obblighi di adeguata verifica e di collaborazione attiva – negli accordi di distribuzione sottoscritti con le imprese di assicurazione;
- b) adempiono comunque in modo uniforme a tali obblighi, indipendentemente da singole previsioni meno stringenti richieste di volta in volta da una specifica impresa di assicurazioni per la distribuzione di un proprio particolare prodotto assicurativo, fatta salva la facoltà di individuare autonomamente prodotti caratterizzati da minori rischi di riciclaggio.
- Gli intermediari assicurativi di cui all’articolo 109, comma 2, lettera d), del codice, nonché i soggetti che svolgono attività analoghe a quelle dei predetti intermediari assicurativi – annotati nell’elenco annesso al registro degli intermediari assicurativi e riassicurativi a seguito della comunicazione prevista dall’articolo 116-quinquies del codice – adottano idonei presidi, controlli e procedure, relativamente alla distribuzione nel territorio della Repubblica di prodotti assicurativi rientranti nei rami di attività elencati all’articolo 2, comma 1, del codice in conformità con le «disposizioni in materia di organizzazione, procedure e controlli interni volti a prevenire l’utilizzo degli intermediari a fini di riciclaggio e di finanziamento del terrorismo» emanate dalla Banca d’Italia ai sensi dell’articolo 7, comma 1, del decreto legislativo n. 231/2007.
Art. 13
Modifiche al regolamento IVASS n. 44/2019
- All’articolo 2, comma 1,
- a) alla lettera l), dopo le parole «Unione europea» sono aggiunte le parole«o in un Paese aderente allo Spazio economico europeo»;
- b) alla lettera m), le parole«o in uno Stato terzo»sono eliminate; le parole «agli articoli 116-quater e 116-quinquies» sono sostituite dalle parole «all’articolo 116-quinquies»;
- c) dopo la lettera vv), è aggiunta la lettera«ww) “sede centrale”: gli uffici dell’impresa con sede legale in un Stato membro dell’Unione europea o in un Paese aderente allo Spazio economico europeo che svolgono funzioni equivalenti a quelle della direzione generale e amministrativa di cui all’articolo 14, comma 1, lettera b) del codice».
- All’articolo 3, dopo la lettera d), è aggiunta la lettera«e) alle imprese di assicurazione aventi sede legale e amministrazione centrale in un altro Stato membro dell’Unione europea o in un Paese aderente allo Spazio economico europeo, che operano in Italia in regime di libera prestazione di servizi, limitatamente alle disposizioni di cui al Capo II, Sezione VI».
- All’articolo 4, comma 3, lettera b), sub i.), e lettera c), all’articolo 5, comma 2, all’articolo 6, comma 2, all’articolo 7, comma 2, all’articolo 8, comma 2, all’articolo 10, comma 2, all’articolo 17, comma 4 e all’articolo 23, comma 2, le parole «direzione generale» sono sostituite dalle parole«sede centrale».
- All’articolo 16 è aggiunto il seguente comma 25«Le disposizioni di cui ai precedenti commi 1, 2, da 8 a 15, da 17 a 22, si applicano anche quando i compiti di cui all’articolo 14 sono attribuiti – ai sensi dell’articolo 23, comma 2 – alla funzione che svolge compiti omologhi presse la sede centrale.»
- All’articolo 18, il comma 2 è sostituito dal seguente: «Gli intermediari assicurativi di cui all’art. 109, comma 2, lettera b), nonché i soggetti che svolgono attività analoga a quella dei menzionati intermediari e operano in Italia in regime di stabilimento – annotati nell’elenco annesso al registro degli intermediari assicurativi e riassicurativi a seguito della notifica in coerenza con quanto previsto dall’articolo 116-quinquies del codice – inviano la segnalazione direttamente alla UIF, qualora non sia individuabile un’impresa di riferimento. Ai fini dell’adempimento dell’obbligo di cui all’articolo 36, comma 3 del decreto antiriciclaggio, gli intermediari di cui all’art. 109, comma 2, lettera d), nonché i soggetti che svolgono attività analoga a quella dei menzionati intermediari e operano in Italia in regime di stabilimento – annotati nell’elenco annesso al registro degli intermediari assicurativi e riassicurativi a seguito della notifica in coerenza con quanto previsto dall’articolo 116-quinquies del codice, nonché gli intermediari assicurativi stabiliti senza succursale, inviano la segnalazione all’impresa di riferimento anche in relazione alle “stesse operazioni” già segnalate direttamente alla UIF e danno comunque notizia all’impresa dell’avvenuta segnalazione di uno “stesso cliente”. Si considerano “stesse operazioni” quelle in cui i premi – iniziale, ricorrente, aggiuntivo – sono stati pagati, in tutto o in parte, con liquidità o titoli oggetto dell’autonoma segnalazione dell’intermediario assicurativo alla UIF. Gli intermediari assicurativi definiscono, secondo un approccio fondato sul rischio, il periodo antecedente il pagamento del premio da prendere in considerazione a tal fine, che comunque non può essere inferiore a trenta giorni o a quello più lungo definito dall’impresa negli accordi di distribuzione.»
- Nel Capo II, dopo l’articolo 28, è inserita la seguente:
«Sezione VI
Valutazione dei rischi di riciclaggio e di finanziamento del terrorismo
Art. 28-bis.
Disposizioni generali
- Le imprese svolgono periodicamente l’autovalutazione dei rischi di riciclaggio e di finanziamento del terrorismo, attraverso una metodologia strutturata in due macro-attività:
- a) valutazione del rischio intrinseco e delle vulnerabilità, che consiste nell’individuare in che modo le minacce, in relazione all’attività esercitata, interessano l’impresa e in quale misura i presidi aziendali risultano vulnerabili ad esse;
- b) determinazione del livello di rischio residuo e delle relative iniziative di mitigazione, attraverso lo sviluppo e l’attuazione di politiche e procedure per fronteggiare il rischio cui l’impresa rimane esposta.
- La funzione antiriciclaggio riporta gli esiti dell’esercizio di autovalutazione nella relazione annuale di cui all’articolo 14, descrivendo le fasi del processo, le funzioni coinvolte, i dati e le informazioni alla base delle valutazioni effettuate, i risultati ottenuti e le iniziative di adeguamento eventualmente necessarie.
- Per i gruppi assicurativi, l’ultima società controllante italiana coordina l’attività svolta da ciascuna delle compagnie appartenenti al gruppo e dà conto nella propria relazione degli esiti delle singole entità, valutando la rilevanza dei rischi residui per l’intero gruppo.
- Gli intermediari assicurativi di cui all’articolo 109, comma 2, lettera d) del codice, nonché i soggetti che svolgono attività analoga a quelle dei menzionati intermediari e operano in Italia in regime di stabilimento – annotati nell’elenco annesso al registro degli intermediari assicurativi e riassicurativi a seguito della notifica in coerenza con quanto previsto dall’articolo 116-quinquies del codice – includono il rischio di riciclaggio connesso alla distribuzione nel territorio della Repubblica di prodotti assicurativi rientranti nei rami di attività elencati all’articolo 2, comma 1, del codice, nell’ambito dell’esercizio annuale di autovalutazione condotto in conformità con le «disposizioni in materia di organizzazione, procedure e controlli interni volti a prevenire l’utilizzo degli intermediari a fini di riciclaggio e di finanziamento del terrorismo» emanate dalla Banca d’Italia ai sensi dell’articolo 7, comma 1, del decreto legislativo n. 231/2007.
L’attività di intermediazione assicurativa viene sempre considerata come separata linea di business da sottoporre a specifica valutazione del rischio.
Art. 28-ter.
Criteri per la valutazione del rischio intrinseco
- Ai fini dell’identificazione e valutazione del rischio intrinseco le imprese valutano almeno i seguenti elementi:
- a) la composizione dei rami vita in cui l’impresa opera;
- b) l’ammontare annuale dei premi lordi contabilizzati e delle prestazioni liquidate nonché il corrispondente numero di polizze e di clienti;
- c) i mercati geografici di riferimento (almeno a livello di singolo paese);
- d) i canali distributivi utilizzati;
- e) il numero, e il corrispondente ammontare di premi versati e prestazioni liquidate, di:
- i) clienti classificati nelle più elevate fasce di rischio, anche per la presenza – in qualità di contraente o di beneficiario o di rispettivo titolare effettivo – di PEP, compresi i familiari e/o i soggetti che mantengono stretti legami, nonché di titolari di cariche pubbliche locali;
- ii) titolari effettivi di polizze stipulate tramite società fiduciarie e trustee nell’ambito di accordi di trust;
- f) la presenza di succursali situate in paesi terzi ad alto rischio, in particolare se ad esse è stato chiesto dall’ultima società controllante italiana di applicare misure supplementari per far fronte al rischio di riciclaggio e di finanziamento del terrorismo;
- g) il paese estero di origine e di destinazione dei fondi relativi ai premi pagati e prestazioni liquidate, con particolare riguardo ai paesi terzi ad alto rischio»;
- h) gli elementi significativi risultanti dalle relazioni e dall’ulteriore documentazione proveniente dalle funzioni di controllo interno;
- i) le risultanze delle verifiche, ispettive e a distanza, condotte dalle Autorità.
- Le imprese definiscono un proprio indicatore attraverso il quale misurare il livello di rischio intrinseco, da ricondurre in una delle quattro categorie (rischio basso, rischio medio-basso, rischio medio-alto, rischio alto) sulla base dei criteri di attribuzione orientativamente descritti nell’allegato 1 – Tabella A.
- Ai fini della valutazione, le imprese tengono conto anche di informazioni ricavate da fonti esterne, tra le quali rilevano: l’analisi nazionale dei rischi condotta sotto l’egida del Comitato di sicurezza Finanziaria; le liste e i documenti emanati da istituzioni internazionali e dai governi nazionali in merito a soggetti ed entità sospettati di attività terroristica.
- L’attribuzione del livello di rischio viene accompagnata dalla descrizione degli elementi di valutazione considerati, delle analisi effettuate e delle motivazioni che hanno determinato le scelte.
Art. 28-quater.
Analisi delle vulnerabilità
- Le imprese adottano e attuano politiche e procedure idonee a mitigare il rischio intrinseco di riciclaggio e di finanziamento del terrorismo identificato ai sensi dell’articolo 28-ter.
- Le imprese definiscono un proprio indicatore per misurare la vulnerabilità del sistema dei presidi, tenendo anche conto dei dati quantitativi concernenti le misure di mitigazione del rischio relative a premi e prestazioni liquidate, riportati nel foglio elettronico di cui all’articolo 28-sexies.
- La vulnerabilità così misurata andrà ricondotta in una delle quattro categorie (vulnerabilità non significativa, vulnerabilità poco significativa, vulnerabilità abbastanza significativa, vulnerabilità molto significativa) sulla base dei criteri di attribuzione orientativamente descritti nell’allegato 1 – Tabella B.
Art. 28-quinquies.
Determinazione del rischio residuo
- La combinazione dei giudizi sul rischio intrinseco e sulla vulnerabilità determina, in base alla matrice illustrata nell’allegato 1 – Tabella C, l’attribuzione della fascia di rischio residuo, secondo una scala di quattro valori (rischio residuo non significativo, rischio residuo basso, rischio residuo medio, rischio residuo elevato).
- Determinato il livello di rischio residuo, le imprese individuano le azioni correttive o di adeguamento da adottare.
- L’attribuzione del livello di rischio deve essere accompagnata dalla descrizione degli elementi di valutazione considerati, delle analisi effettuate e delle iniziative correttive o di adeguamento individuate.
Art. 28-sexies.
Trasmissione annuale dei dati
- Le imprese inviano annualmente all’IVASS, entro il termine del 30 giugno, un insieme strutturato di informazioni e dati di carattere qualitativo e quantitativo, suddiviso in sei sezioni: Organizzazione, Premi lordi contabilizzati, Prestazioni liquidate, Gestione e controllo, Intermediari e Esito autovalutazione.
- I dati sono organizzati e trasmessi secondo le istruzioni che verranno pubblicate con lettera al mercato entro il 30 novembre di ogni anno.
- Nel caso di gruppi assicurativi l’ultima società controllante è tenuta a inviare i dati riferiti al gruppo nonché ad ogni singola compagnia.
- Le imprese che commercializzano esclusivamente prodotti standardizzati definiti a basso rischio dalle disposizioni sui fattori di rischio trasmettono solo i dati di cui alla sezione Premi lordi contabilizzati.
Art. 28-septies.
Attività in regime di libera prestazione di servizi
- Le imprese di assicurazione aventi sede legale in un altro Stato membro dell’Unione europea o in un Paese aderente allo Spazio economico europeo trasmettono, entro il medesimo termine di cui all’articolo 28-sexies, informazioni sull’attività assicurativa svolta in Italia in regime di libera prestazione di servizi, nei rami vita, limitatamente alle sole informazioni della sezione Intermediari.
- Tali imprese inviano tramite posta elettronica certificata i dati e la relativa lettera di trasmissione, sottoscritta da chi ha i poteri di rappresentanza dell’impresa. Le stesse possono utilizzare la casella di posta elettronica certificata utilizzata per l’accreditamento al Sistema di interscambio flussi dati (SID) dell’Agenzia delle entrate. Qualora ai fini della registrazione tali imprese si avvalgano di un intermediario, possono delegare nella lettera di trasmissione tale soggetto ad inviare i dati e la lettera tramite la propria casella di posta elettronica certificata. La comunicazione di non aver distribuito polizze in Italia nell’anno precedente può essere effettuata tramite posta elettronica ordinaria nel caso in cui l’impresa sia sprovvista di posta elettronica certificata. In tal caso, la comunicazione si considera pervenuta nella data in cui il messaggio di posta elettronica ordinaria viene protocollato nel sistema di gestione della corrispondenza dell’IVASS.
- Le imprese di cui al comma 1 che operano in Italia anche in regime di stabilimento, possono trasmettere quanto richiesto anche tramite l’indirizzo di posta elettronica certificata della rappresentanza.»
Art. 14
Pubblicazione ed entrata in vigore
- Il presente provvedimento è pubblicato nella Gazzetta Ufficiale della Repubblica italiana, nel Bollettino e sul sito internet dell’IVASS ed entra in vigore il giorno successivo alla pubblicazione.
- Le imprese – incluse quelle di cui all’articolo 28-septies del regolamento IVASS n. 44/2019 – trasmettono agli intermediari assicurativi i dati relativi all’esercizio 2019 – di cui all’articolo 10, comma 4 – entro i trenta giorni successivi alla pubblicazione del presente provvedimento nella Gazzetta Ufficiale.
- In sede di prima applicazione:
- a) le imprese stabilite senza succursale e gli intermediari assicurativi si adeguano alle disposizioni a partire dal 1° gennaio dell’anno successivo a quello di pubblicazione del presente provvedimento;
- b) le informazioni e i dati relativi all’esercizio 2020 – di cui agli articoli 28-sexies e 28-septies del regolamento n. 44/2019 – vengono trasmessi entro il 30 settembre 2021;
- c) le comunicazioni di cui all’articolo 11, comma 4, lettera a), del presente Provvedimento sono effettuate entro il 30 novembre 2021.
Allegato 1
METODOLOGIA PER L’EFFETTUAZIONE DEL PROCESSO DI AUTOVALUTAZIONE DEI RISCHI DI RICICLAGGIO E DI FINANZIAMENTO DEL TERRORISMO
In linea con la metodologia con cui è stata condotta l’Analisi Nazionale dei Rischi, le imprese di assicurazione sono tenute a sviluppare l’autovalutazione attraverso due macro-attività.
Valutazione del rischio intrinseco dell’impresa
Consiste nell’individuare in che modo le minacce – identificate in generale per il settore assicurativo nell’Analisi Nazionale dei rischi – interessano anche ciascuna impresa in relazione alla portata dell’attività effettivamente esercitata, nonché in quale misura i presidi aziendali – assetto organizzativo e sistema dei controlli interni – risultano vulnerabili alle minacce identificate.
Mitigazione del rischio
Si consegue attraverso lo sviluppo e l’attuazione di politiche e procedure per fronteggiare i residui rischi di riciclaggio e di finanziamento del terrorismo – identificati attraverso la propria valutazione del rischio intrinseco – cui l’impresa rimane esposta.
- Valutazione del rischio intrinseco dell’impresa
Ai fini dell’identificazione e valutazione, vanno presi in considerazione almeno i seguenti elementi:
– la differenziazione dei rami vita in cui opera l’impresa;
– la scala dimensionale, ossia l’ammontare annuale dei premi lordi contabilizzati di nuova produzione e delle prestazioni liquidate nonché il corrispondente numero di polizze e di clienti;
– i mercati di riferimento;
– i canali distributivi, distinguendo tra i diversi soggetti terzi su cui l’impresa di assicurazioni fa affidamento per assolvere gli obblighi di adeguata verifica; in tale contesto, rileva anche l’utilizzo di modalità per l’adeguata verifica a distanza, soprattutto in relazione al beneficiario delle prestazioni;
– il numero di clienti – e corrispondente ammontare di premi versati e prestazioni liquidate – classificati nelle più elevate fasce di rischio (PEPs, esteri e nazionali, compresi familiari e/o soggetti che mantengono stretti legami; altri clienti con cariche pubbliche locali; società fiduciarie; trust; altri clienti a fascia di rischio elevata);
– la presenza di succursali o filiazioni situate in paesi terzi ad alto rischio, in particolare se a tali succursali o filiazioni è stato chiesto dalla capogruppo italiana di applicare misure supplementari per fare fronte in modo efficace al rischio di riciclaggio e di finanziamento del terrorismo;
– il Paese estero di origine e di destinazione dei fondi concernenti rispettivamente i premi pagati e le prestazioni liquidate, con particolare riguardo a paesi terzi ad alto rischio;
– gli elementi significativi risultanti dalle relazioni e dall’ulteriore documentazione rilevante provenienti dalle funzioni di controllo interno;
– le risultanze delle verifiche – ispettive e a distanza – condotte dalle Autorità di controllo.
Ciascuna impresa di assicurazione definisce un proprio indicatore attraverso il quale misurare il livello di rischio intrinseco. In ogni caso, tale indicatore dovrà tenere conto almeno dei dati quantitativi di cui all’articolo 28-sexies del Regolamento IVASS n. 44/2019 concernenti i fattori di rischio relativi a premi e prestazioni liquidate. Il rischio intrinseco così misurato dovrà essere ricondotto in una delle quattro categorie (rischio basso, medio-basso, medio-alto, alto) sulla base dei criteri di attribuzione descritti nella sottostante Tabella A.
L’attribuzione del livello di rischio intrinseco viene accompagnata dalla descrizione degli elementi di valutazione (dati e informazioni) considerati, delle analisi poste in essere e delle motivazioni che hanno determinato le scelte effettuate.
Ai fini della valutazione, le compagnie tengono conto anche di informazioni ricavate da fonti esterne, tra le quali rilevano:
– l’analisi nazionale dei rischi condotta sotto l’egida del Comitato di Sicurezza Finanziaria (NRA);
– le liste e i documenti emanati da istituzioni internazionali e dai governi nazionali in merito a soggetti ed entità sospettati di attività terroristica.
Tabella A – Analisi del rischio intrinseco
Giudizio | Criteri di attribuzione |
---|---|
Rischio basso | I clienti a rischio più elevato sono molto limitati (in termini di numerosità ponderata in base al valore dei premi); sono assenti o molto limitati i clienti i cui titolari effettivi sono domiciliati in paesi terzi ad alto rischio, nonché le prestazioni liquidate a beneficiari o relativi titolari effettivi ivi domiciliati. I movimenti transfrontalieri di fondi concernenti premi incassati e prestazioni liquidate sono modesti. Il patrimonio informativo proveniente dai canali distributivi utilizzati è pienamente affidabile. Assente o molto limitato utilizzo di metodi di pagamento, anche innovativi, che comportano adempimenti aggiuntivi per individuare il soggetto terzo pagatore. Le polizze all’ordine o al portatore nonché prodotti che facilitano in altro modo operazioni anonime o non tracciabili sono assenti o molto limitati. Ne segue che l’impresa di assicurazioni non è esposta a un significativo rischio di essere coinvolta – anche inconsapevolmente – in attività di riciclaggio o di finanziamento del terrorismo. |
Rischio medio basso | I clienti a rischio più elevato sono a un livello limitato o medio (in termini di numerosità ponderata in base al valore dei premi); sono presenti ma in numero non significativo i clienti i cui titolari effettivi sono domiciliati in paesi terzi ad alto rischio, nonché le prestazioni liquidate a beneficiari o relativi titolari effettivi ivi domiciliati. I movimenti transfrontalieri di fondi concernenti premi incassati e prestazioni liquidate sono presenti anche se non elevati. Il patrimonio informativo proveniente dai canali distributivi utilizzati è sufficientemente affidabile. Basso utilizzo di metodi di pagamento, anche innovativi, che comportano adempimenti aggiuntivi per individuare il soggetto terzo pagatore. Le polizze all’ordine o al portatore nonché prodotti che facilitano in altro modo operazioni anonime o non tracciabili sono limitati o mediamente presenti. Ne segue che l’impresa di assicurazioni è limitatamente esposta a un significativo rischio di essere coinvolta – anche inconsapevolmente – in attività di riciclaggio o di finanziamento del terrorismo. |
Rischio medio-alto | I clienti a rischio più elevato sono a un livello consistente (in termini di numerosità ponderata in base al valore dei premi); sono presenti in numero significativo i clienti i cui titolari effettivi sono domiciliati in paesi terzi ad alto rischio, nonché le prestazioni liquidate a beneficiari o relativi titolari effettivi ivi domiciliati. I movimenti transfrontalieri di fondi concernenti premi incassati e prestazioni liquidate sono presenti a un livello elevato. Il patrimonio informativo proveniente dai canali distributivi utilizzati non è pienamente affidabile. Moderato utilizzo di metodi di pagamento, anche innovativi, che comportano adempimenti aggiuntivi per individuare il soggetto terzo pagatore. Le polizze all’ordine o al portatore nonché prodotti che facilitano in altro modo operazioni anonime o non tracciabili sono significativamente presenti. Ne segue che l’impresa di assicurazioni è abbastanza esposta a un significativo rischio di essere coinvolta – anche inconsapevolmente – in attività di riciclaggio o di finanziamento del terrorismo. |
Rischio alto | I clienti a rischio più elevato sono a un livello molto consistente (in termini di numerosità ponderata in base al valore dei premi); sono presenti in numero piuttosto significativo i clienti i cui titolari effettivi sono domiciliati in paesi terzi ad alto rischio, nonché le prestazioni liquidate a beneficiari o relativi titolari effettivi ivi domiciliati. I movimenti transfrontalieri di fondi concernenti premi incassati e prestazioni liquidate sono presenti a un livello assai elevato. Il patrimonio informativo proveniente dai canali distributivi utilizzati non è adeguatamente affidabile. Elevato utilizzo di metodi di pagamento, anche innovativi, che comportano adempimenti aggiuntivi per individuare il soggetto terzo pagatore. Le polizze all’ordine o al portatore nonché prodotti che facilitano in altro modo operazioni anonime o non tracciabili sono presenti in misura elevata. Ne segue che l’impresa di assicurazioni è molto esposta a un significativo rischio di essere coinvolta – anche inconsapevolmente – in attività di riciclaggio o di finanziamento del terrorismo. |
- Analisi delle vulnerabilità
Le imprese di assicurazioni adottano e attuano politiche e procedure idonee a mitigare il rischio intrinseco di riciclaggio e di finanziamento del terrorismo identificato nella fase precedente.
Pertanto, una volta determinata l’intensità del rischio intrinseco, ciascuna impresa è chiamata a definire un proprio indicatore per misurare il livello di vulnerabilità del sistema dei presidi. In ogni caso, tale indicatore dovrà tenere conto almeno dei dati quantitativi descritti nelle istruzioni pubblicate annualmente ai sensi dell’articolo 28-sexies del Regolamento 44/2019 e concernenti le misure di mitigazione del rischio relative a premi e prestazioni liquidate. La vulnerabilità così misurata dovrà essere ricondotta in una delle quattro categorie (vulnerabilità: non significativa, poco, abbastanza o molto significativa) sulla base dei criteri di attribuzione descritti nella sottostante Tabella B.
L’attribuzione del livello di vulnerabilità così misurata è accompagnata da una sintetica illustrazione dei presidi in essere e dalla descrizione dei punti di debolezza eventualmente individuati, con l’esplicitazione delle motivazioni che hanno determinato il punteggio attribuito.
Tabella B – Analisi delle vulnerabilità
Giudizio | Criteri di attribuzione |
---|---|
Vulnerabilità non significativa | I presidi in essere sono pienamente efficaci per impedire il coinvolgimento dell’impresa di assicurazioni nel riciclaggio di denaro e nel finanziamento del terrorismo. L’impresa ha un ottimo livello di consapevolezza circa il rischio intrinseco di riciclaggio e di finanziamento del terrorismo (sulla base delle evidenze, azioni intraprese, formazione, risorse stanziate). L’impresa è dotata di un assetto organizzativo altamente idoneo a individuare e contrastare i rischi. Le nuove tecnologie e i metodi di pagamento utilizzati sono pienamente protetti e controllati |
Vulnerabilità poco significativa | I presidi in essere sono ragionevolmente efficaci per impedire il coinvolgimento dell’impresa di assicurazioni nel riciclaggio di denaro e nel finanziamento del terrorismo. L’impresa ha un sufficiente livello di consapevolezza circa il rischio intrinseco di riciclaggio e di finanziamento del terrorismo (sulla base delle evidenze, azioni intraprese, formazione, risorse stanziate). L’impresa è dotata di un assetto organizzativo sufficientemente idoneo a individuare e contrastare i rischi. Le nuove tecnologie e i metodi di pagamento utilizzati sono abbastanza protetti e controllati |
Vulnerabilità abbastanza significativa | I presidi in essere sono limitatamente efficaci per impedire il coinvolgimento dell’impresa di assicurazioni nel riciclaggio di denaro e nel finanziamento del terrorismo. L’impresa ha livello di consapevolezza non del tutto adeguato circa il rischio intrinseco di riciclaggio e di finanziamento del terrorismo (sulla base delle evidenze, azioni intraprese, formazione, risorse stanziate). L’impresa è dotata di un assetto organizzativo con numerose carenze, non sufficientemente idoneo a individuare e contrastare i rischi. Le nuove tecnologie e i metodi di pagamento utilizzati non sono adeguatamente protetti e controllati |
Vulnerabilità molto significativa | I presidi in essere sono inefficaci per impedire il coinvolgimento dell’impresa di assicurazioni nel riciclaggio di denaro e nel finanziamento del terrorismo. L’impresa ha livello di consapevolezza inadeguato circa il rischio intrinseco di riciclaggio e di finanziamento del terrorismo (sulla base delle evidenze, azioni intraprese, formazione, risorse stanziate). L’impresa è dotata di un assetto organizzativo con carenze molto numerose, non idoneo a individuare e contrastare i rischi. Le nuove tecnologie e i metodi di pagamento utilizzati non sono protetti e controllati |
- Determinazione del rischio residuo
La combinazione dei giudizi sul rischio intrinseco e sulla vulnerabilità determina, in base alla matrice di seguito illustrata, l’attribuzione della fascia di rischio residuo, secondo la scala di quattro valori indicata.
Rischio intrinseco | alto | Rischio residuo elevato | |||
medio alto | Rischio residuo Medio | ||||
medio basso | Rischio residuo basso | ||||
basso | Rischio residuo non significativo | ||||
non significativa | Poco significativa | Abbastanza significativa | Molto significativa | ||
Vulnerabilità insite nel sistema organizzativo e dei controlli |
Una volta determinato il livello di rischio complessivo, l’impresa di assicurazioni – anche alla luce di quanto previsto nel più generale quadro di riferimento per la propensione al rischio (Risk Appetite Framework – RAF) – individua le iniziative correttive o di adeguamento da adottare per mitigare tali rischi residui.
L’attribuzione del livello di rischio residuo per ogni compagnia e per l’intero gruppo assicurativo deve essere accompagnata dalla descrizione degli elementi di valutazione considerati, delle analisi poste in essere e delle richiamate iniziative correttive o di adeguamento individuate.