Nel presente intervento verranno approfondite le modalità di adempimento dell’obbligo di adeguata verifica della clientela a seconda che si tratti di un ipotesi che presenta un minore o maggiore rischio di riciclaggio.
Il nuovo articolo 23 del D.Lgs. 231/2007, come modificato dal D.Lgs. 90/2017, disciplina le misure semplificate di adeguata verifica della clientela, prevedendo che, in caso di operazioni comportanti un basso rischio di riciclaggio o di finanziamento del terrorismo, i soggetti obbligati possano applicare misure di adeguata verifica della clientela semplificate sotto il profilo dell’estensione dei controlli e della frequenza degli adempimenti.
La norma fornisce alcuni indici per la valutazione della sussistenza di un basso rischio di riciclaggio che possono ricondursi:
- alla tipologia del cliente (ad esempio in caso di società quotate su un mercato regolamentato; pubbliche amministrazioni ovvero istituzioni o organismi che svolgono funzioni pubbliche; clienti che sono residenti in aree geografiche a basso rischio);
- alle tipologie di prodotti, servizi, operazioni o canali di distribuzione (quali ad esempio contratti di assicurazione vita in cui il premio annuale non superi i 1.000 euro; regimi di previdenza che versano prestazioni pensionistiche ai dipendenti tramite detrazione dalla retribuzione; prodotti in cui i rischi di riciclaggio o di finanziamento del terrorismo sono mitigati da fattori quali limiti di spesa o trasparenza della titolarità);
- indici di rischio relativi ad aree geografiche (in caso di operazioni effettuate in Stati membri dell’Unione Europea, in Paesi terzi dotati di efficaci sistemi di prevenzione del riciclaggio e del finanziamento del terrorismo o con un basso livello di corruzione o di permeabilità ad altre attività criminose, o che prevedano e diano effettiva applicazione a presidi di prevenzione del riciclaggio e di finanziamento del terrorismo, coerenti con le raccomandazioni del GAFI).
Possono essere previste misure di adeguata verifica semplificata anche a favore di banche e istituti di moneta elettronica in caso di strumenti di pagamento non ricaricabili e aventi un limite mensile massimo di utilizzo di 250 euro che possa essere speso solo in Italia.
In sintesi, la verifica semplificata consiste sostanzialmente nell’identificare il cliente persona fisica e/o il legale rappresentante del cliente persona giuridica/ente.
Al contrario, nei casi che presentano un elevato rischio di riciclaggio o di finanziamento del terrorismo devono essere applicate, ai sensi degli articoli 24 e 25 del D.Lgs. 231/2007, misure rafforzate di adeguata verifica della clientela.
I fattori di rischio che devono essere valutati riguardano (specularmente alla norma precedente) il cliente, la tipologia delle operazioni e l’area geografica di riferimento.
Tra gli indici individuati dal decreto, si evidenziano quelli relativi a situazione di interposizione o di intestazione fittizia di beni o attività, oltre che ad operazioni caratterizzate dall’uso di elevati importi in contante o relative a Paesi in cui vi è un elevato livello di corruzione o di permeabilità ad altre attività criminose.
Desta qualche perplessità, invece, l’indice, individuato dalla norma, relativo a “prodotti e pratiche commerciali di nuova generazione, compresi i meccanismi innovativi di distribuzione e l’uso di tecnologie innovative o in evoluzione per prodotti nuovi o preesistenti”.
Possono comunque essere individuati dalle autorità competenti ulteriori fattori di rischio da valutare al fine di integrare o modificare l’elenco precedente.
L’articolo 24 prevede, inoltre, che siano sempre adottate misure di adeguata verifica rafforzata della clientela nelle seguenti ipotesi:
- a) clienti residenti in Paesi terzi ad alto rischio individuati dalla Commissione europea;
- b) rapporti di corrispondenza transfrontalieri con un ente creditizio o istituto finanziario corrispondente di un Paese terzo;
- c) rapporti continuativi, prestazioni professionali o operazioni con clienti e relativi titolari effettivi che siano persone politicamente esposte.
L’esecuzione degli obblighi rafforzati di verifica della clientela si concretizza, per il professionista, nell’acquisizione dei dati identificativi del cliente persona fisica o giuridica, nonché di una serie di informazioni aggiuntive che costringono il soggetto obbligato ad un approfondimento sullo scopo e sulla natura del rapporto professionale, oltre che nell’obbligo di intensificare la frequenza delle verifiche finalizzate a garantire il controllo costante del cliente nella durata del rapporto.
Infine, i soggetti obbligati devono definire adeguate procedure, basate sul rischio, per determinare se il cliente sia una persona politicamente esposta e, nel caso di rapporti continuativi, prestazioni professionali o operazioni con persone politicamente esposte, oltre alle ordinarie misure di adeguata verifica della clientela, devono adottare le seguenti ulteriori misure:
- a) ottenere l’autorizzazione dei soggetti titolari di poteri di amministrazione o direzione ovvero di loro delegati o, comunque, di soggetti che svolgono una funzione equivalente, prima di avviare o proseguire o intrattenere un rapporto continuativo, una prestazione professionale o effettuare un’operazione occasionale con tali clienti;
- b) applicare misure adeguate per stabilire l’origine del patrimonio e dei fondi impiegati nel rapporto continuativo o nell’operazione;
- c) assicurare un controllo costante e rafforzato del rapporto continuativo o della prestazione professionale.
Infine, l’articolo 26 del D.Lgs. 231/2007 prevede che l’esecuzione degli obblighi di adeguata verifica della clientela possa essere effettuata anche da parte di terzi.
Secondo tale norma, i soggetti obbligati possono ricorrere a terzi per ottenere dati inerenti l’identificazione del cliente, dell’esecutore, del titolare effettivo nonché per ottenere l’acquisizione e la valutazione delle informazioni sullo scopo e sulla natura del rapporto continuativo e della prestazione professionale.
I soggetti obbligati possono così reimpiegare e utilizzare dati e informazioni acquisiti da terzi, nel rispetto del principio di economicità.
I soggetti dai quali possono essere acquisite le informazioni sono esplicitamente elencati nella predetta norma e sono:
- professionisti nei confronti di altri professionisti;
- intermediari bancari e finanziari;
- agenti in attività finanziaria limitatamente alle operazioni di importo inferiore a 15.000,00 euro, relative alle prestazioni di servizi di pagamento e alla emissione e distribuzione di moneta elettronica;
- intermediari bancari e finanziari aventi sede in altri stati membri o in un paese terzo che siano tenuti ad applicare misure di adeguata verifica della clientela e di conservazione dei documenti di livello analogo a quelle previste dalla direttiva UE e che siano sottoposti a controlli di vigilanza in linea con quelli previsti dal diritto dell’Unione Europea.
Gli obblighi si considerano assolti previo rilascio di idonea attestazione da parte del terzo che abbia provveduto ad adempiervi direttamente e nell’ambito di un rapporto continuativo o dell’esecuzione di una prestazione professionale, ovvero in occasione del compimento di una prestazione occasionale.
In ogni caso, il soggetto direttamente obbligato deve valutare se gli elementi raccolti e le verifiche effettuate dal terzo siano idonee e sufficienti ai fini dell’assolvimento dell’obbligo.