La IV direttiva antiriciclaggio ha rinnovato profondamente gli strumenti normativi di contrasto al fenomeno del riciclaggio e del finanziamento del terrorismo. Intanto assume centralità il cosiddetto “approccio basato sul rischio”, istituzionalizzato anche nel nostro ordinamento col recepimento occorso col decreto legislativo 90/2017 che ha novellato profondamente la disciplina contenuta nel precedente decreto 231/2007.
Tale approccio si sostanzia su tre livelli: europeo, nazionale e dei soggetti obbligati. Il nuovo sistema quindi evolve con l’evolversi di nuove minacce, si tratta di una vera e propria novità che supera il precedente sistema basato su casistiche predeterminate. Ciò comporta, riguardo ai soggetti obbligati, da un lato una maggiore efficacia delle norme (non sempre il pedissequo rispetto della regola sulla base della casistica precostituita – pur comportando oneri da parte del soggetto obbligato – risultava poi efficace ai fini della prevenzione del rischio) dall’altra una maggiore responsabilizzazione dei soggetti obbligati attraverso un loro ruolo più attivo rispetto alla valutazione di ogni singola situazione al fine di regolare frequenza e intensità degli adempimenti.
Tra gli adempimenti in una realtà economica ormai esclusivamente dominata da imprese Fintech – del resto non c’è finanza oggi senza tecnologia – l’adeguata verifica è quella che più si scontra con la customer experience. Infatti, se non è scontato che una procedura eccessivamente burocratizzata risponda poi alle esigenze del sistema e sia complaint con le norme, modalità troppo snelle rischiano di esporre le imprese a rischi di sanzioni da parte delle autorità di vigilanza del settore. Le modalità di esecuzione dell’adeguata verifica sono disciplinata dall’articolo 19 del decreto legislativo. 231/2007. In particolare, l’identificazione deve di norma avvenire “in presenza” del cliente, ma lo stesso comma 1 del suddetto articolo prevede una serie di casi in cui essa possa avvenire anche senza la presenza fisica del cliente. Ad esempio, quando il cliente sia stato già identificato in relazione ad un altro rapporto in essere, purché le informazioni esistenti siano aggiornate e adeguate rispetto allo specifico profilo di rischio del cliente. Mentre altre circostanze di identificazione senza presenza, potranno essere individuate per i clienti i cui dati identificativi siano stati già acquisiti attraverso modalità precisate dalle Autorità di vigilanza di settore, tenuto conto dell’evoluzione tecnologica. Si tratta di una previsione molto importante che evita di ingessare processi e operatività a scapito dei vantaggi che indubbiamente l’innovazione tecnologica può, per l’appunto, produrre a favore della customer experience, senza per questo ridurre i presidi di controllo e analisi del rischio da parte dei soggetti obbligati.
Oltre all’identificazione il soggetto obbligato deve verificare la veridicità dei dati identificativi contenuti nei documenti laddove sussistano dubbi, incertezze o incongruenze. La valutazione sullo scopo e sulla natura del rapporto continuativo va fatta verificando la compatibilità dei dati e delle informazioni fornite dal cliente con le informazioni acquisite autonomamente dal soggetto obbligato anche relative al complesso delle operazioni compiute in costanza del rapporto o di altri rapporti precedentemente intrattenuti. Allo stesso modo il soggetto obbligato deve provvedere ad una analisi delle operazioni effettuate e delle attività svolte o individuate durante tutta la durata del rapporto, in modo da verificare che esse siano coerenti con la conoscenza che la stessa banca ha del cliente e del suo profilo di rischio, se necessario anche relativamente all’origine dei fondi.
Questo ultimo momento dell’adeguata verifica diventa sempre più importante, perché se ormai diverse banche dati, anche pubbliche, aiutano il soggetto obbligato nel momento dell’identificazione, sono i dati raccolti dall’operatività incrociati ad altre fonti, interne ed esterne a rappresentare lo sviluppo di nuove opportunità di investimenti in tecnologia. Si tratta di costruire veri e propri sistemi anche di intelligenza artificiali in grado di imparare e distinguere operazioni che vanno portate all’attenzione del soggetto obbligato (soprattutto nel caso di soggetti che operano con migliaia di clienti) rispetto ad altre che rappresentano dei “falsi allarmi”.
In ossequio all’approccio bastano sul rischio il comma 2 dell’articolo 19 del D.lgs. 231/2007 esplicita che le precedenti attività di verifica, valutazione e controllo vanno commisurate al livello di rischio rilevato.
