IV Direttiva Antiriciclaggio: emanato il Decreto legislativo di recepimento in Italia
Nel Supplemento Ordinario n. 28 alla Gazzetta Ufficiale n. 140 del 19 giugno 2017 è stato pubblicato il decreto legislativo 25 maggio 2017, n. 90 (il "Decreto"), che modifica i decreti legislativi 21 novembre 2007 n. 231 (il "Decreto 231") e 22 giugno 2007, n. 109 allo scopo di recepire la Direttiva (UE) 2015/849 ("IV Direttiva AML") in materia di «prevenzione dell'uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo» e dare attuazione del Regolamento (UE) 2015/847, concernente «i dati informativi che accompagnano i trasferimenti di fondi».'
Il recepimento della IV Direttiva AML ha comportato l'introduzione di rilevanti modifiche all'impianto normativo del Decreto 231, che imporranno ai relativi destinatari l'avvio di un articolato assessment delle policy e procedure interne adottate, onde verificarne per tempo la perdurante adeguatezza alla luce 'delle novità introdotte dal Decreto e dalla concreta operatività.
Il perimetro soggettivo di applicazione
Tra le novità di maggior rilievo, sicuramente degna di nota appare anzitutto l'inclusione, tra i destinatari degli obblighi antiriciclaggio, degli intermediari bancari e finanziari europei operanti in Italia in regime di libera prestazione di servizi su base cross-border, nonché dei consulenti finanziari e delle società di consulenza finanziaria di cui, rispettivamente, agli articoli 18-bis e ter del Testo Unico della Finanza.
I prestatori di servizi di gioco
Il Decreto conferma, inoltre, l'applicabilità delle disposizioni antiriciclaggio ai "prestatori di servizi di gioco", alla cui regolamentazione in materia è stato dedicato il nuovo Titolo IV del Decreto 231, con la precisazione che gli obblighi di adeguata verifica debbono essere adempiuti al momento dell'«apertura o modifica del conto di gioco». Sono stati, invece, sottratti dal perimetro applicativo della normativa in parola i sistemi di gioco numerico a quota fissa e a totalizzatore, nonché le lotterie ad estrazione istantanea e differita e i concorsi pronostici su base sportiva ed ippica.
Sempre con riguardo al settore giochi, si rileva l'importanza di procedere a una specifica disamina degli obblighi introdotti dal Decreto, che potrebbero avere un impatto non secondario sull'attività degli operatori del settore, specie in considerazione della necessità 'di garantire in tempi brevi il necessario adeguamento delle procedure interne (di identificazione e di conservazione dei dati acquisiti) sinora adottate. Si rileva infine che, ai sensi del nuovo 'art. 54 del Decreto 231 le amministrazioni e istituzioni interessate dovranno elaborare standard tecnici di regolamentazione a supporto dei prestatori di servizi di gioco, anche sulla base dell'analisi nazionale del rischio di riciclaggio e di finanziamento del terrorismo elaborata dal Comitato di sicurezza finanziaria. È 'inoltre previsto che i concessionari adottino, entro il 4 luglio 2018, gli adeguamenti tecnologici dei propri processi necessari a mitigare e gestire i rischi di riciclaggio e finanziamento del terrorismo - ivi inclusi quelli relativi ai clienti, ai paesi o aree geografiche e alle operazioni e tipologie di gioco - cui sono esposti i distributori ed esercenti di cui i medesimi concessionari si avvalgono a qualunque titolo per l'offerta di servizi di gioco.
Specifici obblighi di identificazione e verifica dell'identità sono inoltre previsti in capo ai distributori ed esercenti, per le operazioni di gioco di importo superiore a 2.000 euro, e comunque, in caso di sospetto di riciclaggio o finanziamento del terrorismo.
I prestatori di valuta virtuale
Specifiche disposizioni sono state previste anche per gli operatori attivi nel campo della “valuta virtuale”, da intendersi quale “rappresentazione digitale di valore, non emessa da una banca centrale o da un’autorità pubblica, non necessariamente collegata a una valuta avente corso legale, utilizzata come mezzo di scambio per l'acquisto di beni e servizi e trasferita, archiviata e negoziata elettronicamente”.
Ulteriore importante novità dunque è rappresentata dall’estensione dell’ambito di applicazione della normativa ai “prestatori di servizi relativi all'utilizzo di valuta virtuale”, definiti quali “persone fisiche o giuridiche che forniscono a terzi, a titolo professionale, servizi funzionali all'utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale”. Detti soggetti, limitatamente allo svolgimento dell’attività di conversione di valute virtuali da ovvero in valute aventi corso forzoso, sono stati inclusi nella categoria degli “altri operatori non finanziari”, in capo ai quali sono previsti specifici obblighi antiriciclaggio.
Rilevante la circostanza che, modificando il decreto legislativo 13 agosto 2010, n. 141 , il Decreto impone ai prestatori di servizi relativi all'utilizzo di valuta virtuale di iscriversi in una sezione speciale del registro tenuto dall’OAM (l’Organismo per la gestione degli elenchi degli agenti in attività finanziaria e dei mediatori creditizi), ai sensi dell'articolo 128‐undecies TUB.
Tale previsione dovrà essere attuata mediante decreto del Ministro dell'economia e delle finanze, che dovrà stabilire modalità e tempistiche con cui i menzionati prestatori di servizi relativi all'utilizzo di valuta virtuale saranno tenuti a comunicare al medesimo Ministero la propria operatività sul territorio nazionale. Detta comunicazione è da considerarsi, pertanto, condizione essenziale per l'esercizio legale dell’attività da parte dei suddetti prestatori.
L'adeguata verifica della clientela
Dal punto di vista oggettivo, con particolare riguardo al paradigma normativo applicabile per l'"adeguata verifica della clientela" (customer due diligence - CDD) si evidenzia che:
- Sono stati diversamente declinati gli obblighi di adeguata verifica nella prestazione di servizi di pagamento e nell'emissione e distribuzione di moneta elettronica effettuate tramite (i) agenti in attività finanziaria iscritti nell'elenco previsto dall'articolo 128-quater, commi 2 e 6 del TUB e (ii) altri soggetti convenzionati e agenti (diversi dagli agenti in attività finanziaria, di cui i PSP e gli IMEL anche comunitari si avvalgono per l'esercizio della propria attività sul territorio della Repubblica italiana). In tali ipotesi, infatti, gli obblighi di adeguata verifica della clientela trovano applicazione anche alle operazioni occasionali di importo inferiore a 15.000 euro
- È stata inserita la possibilità di considerare assolto l'obbligo di identificazione del cliente non presente fisicamente ove questo risulti in possesso di un'identità digitale o di una firma digitale
- È stato precisato che l'obbligo di acquisire ulteriori informazioni relative, inter alia, alla situazione economico-patrimoniale del cliente nonché alla provenienza dei fondi e delle risorse nella relativa disponibilità deve essere assolto sulla base di informazioni «acquisite o possedute in ragione dell'esercizio dell'attività», riducendo conseguentemente il campo di ricerca
Con l'occasione il legislatore ha ribadito che i clienti già identificati in ragione dell'instaurazione di altro rapporto o prestazione professionale non necessitano di una nuova identificazione, a condizione che i dati risultino aggiornati e che nel frattempo il profilo di rischio non sia mutato. Anche in tale ambito risulterà pertanto opportuno svolgere accurati controlli sulla lista dei clienti già acquisiti.
Quanto alle misure semplificate di adeguata verifica, diversamente dalle vecchie disposizioni, il Decreto non indica i soggetti cui è possibile applicare la c.d. simplified due diligence, rimettendo l'applicazione di verifiche semplificate al prudente apprezzamento dei destinatari, in ragione del profilo di rischio del cliente. A tal riguardo, il Decreto detta taluni criteri e fattori (relativi alla tipologia di clientela, ai prodotti, servizi, operazioni o canali di distribuzione o geografici) meramente esemplificativi, che i destinatari dovranno tenere in considerazione nell'assessment da condurre relativamente al profilo di rischio del cliente, ai fini dell'applicazione di una verifica semplificata.
Si ritiene pertanto che i soggetti destinatari degli obblighi di adeguata verifica saranno tenuti nei prossimi mesi ad elaborare e adottare modelli ad hoc volti ad identificare ipotesi di "basso rischio", cui applicare la semplified due diligence da adottarsi in conformità alle indicazioni emanate, ove previsto dal Decreto, dalle rispettive Autorità di vigilanza di settore.
Con riferimento allo svolgimento dell'adeguata verifica tramite terzi, il Decreto stabilisce che, su richiesta del soggetto obbligato che si è avvalso dell'adeguata verifica svolta da una "terza parte", quest'ultima sarà tenuta a fornire senza ritardo copia della documentazione raccolta in fase di identificazione del cliente. Inoltre, viene specificato che il terzo deve provvedere alla CDD "direttamente". Tale disposizione comporterà certamente la necessità di inserire, nel contesto degli accordi con le terze parti, clausole ad hoc atte a regolare tale previsione. Resta peraltro fermo il divieto di ricorrere a terzi aventi sede in Stati classificati come Paesi ad alto rischio.
Il registro dei titolari effettivi
Tra le innovazioni sicuramente più significative e dall'ampia portata innovativa, va senz'altro segnalata l'istituzione del registro dei titolari effettivi di imprese e trust. Più precisamente, una sezione speciale del Registro delle imprese sarà lo strumento di raccolta e custodia delle informazioni relative ai beneficial owner delle imprese dotate di personalità giuridica nonché delle persone giuridiche private diverse dalle imprese. L'obbligo di provvedere all'alimentazione di tale registro incombe sugli amministratori di tutte le imprese dotate di personalità giuridica, che dovranno procedere alla raccolta e richiesta dei pertinenti dati. In caso di inerzia o rifiuto ingiustificato, da parte del socio, a fornire le informazioni necessarie per l'individuazione del titolare effettivo i diritti di voto connessi alle relative partecipazioni non potranno essere esercitati. Analoghi obblighi di ricerca e trasmissione dei dati sono posti in capo ai fiduciari dei trust produttivi di effetti giuridici; in tali ipotesi l'omessa comunicazione delle informazioni sul titolare effettivo è punita con la sanzione amministrativa pecuniaria di cui all'art. 2630 c.c. ("Omessa esecuzione di denunce, comunicazioni e depositi"), da un minimo edittale di 103 euro a un massimo di 1.032 euro).
L'attuazione di tale previsione è demandata alla disciplina di dettaglio che sarà emanata dal Ministero dell'Economia e delle Finanze avuto specifico riguardo alla tipologia di dati e informazioni da comunicare, alle modalità di accesso e consultazione del registro e ai termini e condizioni cui tale accesso è soggetto su richiesta di soggetti privati portatori di un valido interesse.
L'Archivio Unico Informatico
Un'ulteriore novità in tema di adempimenti concerne l'Archivio Unico Informatico. Ai sensi del Decreto l'obbligo di istituire detto registro e di alimentarlo con le informazioni relative alla clientela è stato sostituito da un più generico «obbligo di conservazione». Sul punto occorrerà tuttavia attendere l'emanazione della normativa secondaria, onde comprendere come la previsione in commento verrà declinata dalle autorità di vigilanza di settore. Il Provvedimento Banca d'Italia 3 aprile 2013, recante disposizioni attuative per la tenuta dell'archivio unico informatico e modalità semplificate di registrazione, continuerà comunque a trovare applicazione sino al 31 marzo 2018.
L'impianto sanzionatorio
Anche il profilo sanzionatorio risulta profondamente modificato, sia in punto di quantificazione delle sanzioni, sia in termini di ipotesi di violazione. Di particolare rilevanza è l'individuazione di una responsabilità sostanzialmente oggettiva in capo agli esponenti aziendali, allorquando omissioni nei controlli abbiano reso possibile il verificarsi di violazioni della normativa antiriciclaggio. Inoltre, preme rilevare l'introduzione della sanzione penale della reclusione e della multa, applicabile al soggetto destinatario degli obblighi di adeguata verifica che faccia uso di informazioni e dati falsi relativi alla clientela, al titolare effettivo o allo scopo o alla natura del rapporto continuativo o della prestazione professionale e all'operazione.
Ancora, nel contesto dell'obbligo di segnalazione delle operazioni sospette, il Decreto detta alcuni criteri per determinare la gravità della violazione e l'entità della sanzione applicabile. Occorrerà valutare, inter alia, il grado e l'intensità dell'elemento soggettivo, la rilevanza e l'evidenza dei motivi di sospetto e l'eventuale collaborazione con le autorità.
Sempre nell'ambito delle segnalazioni di operazioni sospette, è stata eliminata la sanzione per tardiva comunicazione che gli organi di controllo dei soggetti obbligati sono tenuti ad effettuare e, con particolare riguardo ai soggetti vigilati, è stato specificato che la sanzione in caso di omessa segnalazione di operazioni sospette si applica al personale degli intermediari bancari e finanziari e degli operatori finanziari (quali definiti dal nuovo Decreto 231) tenuto ad effettuare la comunicazione o la segnalazione, responsabile «in via esclusiva o concorrente» con l'ente presso cui operano.
Whistleblowing
Particolare attenzione meritano altresì gli obblighi in tema di whistleblowing: in linea con le recenti modifiche introdotte nel Testo Unico Bancario e nel Testo Unico della Finanza, ai destinatari è fatto obbligo di adottare procedure e processi interni volti ad incentivare la segnalazione, da parte del personale dipendente, di potenziali o effettive violazioni delle disposizioni in materia antiriciclaggio.
La proposta di modifica della IV Direttiva AML
Giova da ultimo ricordare che nel luglio 2016, prima della scadenza del relativo termine di recepimento nei singoli Stati membri (26 giugno 2017), la Commissione Europea ha elaborato una proposta di modifica della IV Direttiva AML, avente tra l'altro a oggetto: la riduzione dal 25% al 10% della percentuale di possesso che fa presumere una relazione di beneficial ownership; l'istituzione di un registro centralizzato a livello comunitario per la raccolta delle informazioni sulla titolarità effettiva; l'estensione dell'ambito applicazione degli obblighi antiriciclaggio ai prestatori di servizi di cambio di moneta (virtuale e legale) e la contestuale riduzione delle ipotesi di simplified due diligence per l'uso di strumenti di e-money.
Tali emendamenti, non sono stati tuttavia allo stato confermati e, pertanto, non sono stati oggetto di trasposizione negli ordinamenti nazionali.
Entrata in vigore e norme transitorie e di attuazione
Il Decreto entrerà in vigore il prossimo 4 luglio, precisandosi al riguardo che le disposizioni emanate dalle autorità di vigilanza di settore ai sensi di norme abrogate o sostituite per effetto del Decreto continueranno a trovare applicazione fino al 31 marzo 2018.
Entro 12 mesi dall'entrata in vigore del Decreto - e dunque entro il 4 luglio 2018 – le autorità di vigilanza di settore e i competenti organismi di autoregolamentazione dovranno invece procedere all'emanazione della normativa secondaria in tema di procedure e strumenti di mitigazione del rischio che i rispettivi soggetti vigilati saranno tenuti ad adottare o, nel caso, adeguare in ossequio a quanto previsto dai nuovi articoli 14 e 15 del Decreto 231, come modificati dal Decreto.