AML, Kyc e Adeguata Verifica: parola all'esperto

 

Quello dell’antiriciclaggio è da sempre un tema di grande interesse in ambito finanziario e diventa tanto più protagonista quanto più si fanno difficili e imprevedibili gli scenari economici.

Intermediari Finanziari e banche sono stati messi nella condizione di evolvere rapidamente, rispetto al passato, trovandosi oggi a dover perseguire un delicato equilibrio tra indicazioni normative, anche molto stringenti, e considerazioni su diversi rischi che condizionano l’orientamento a realizzare margini.

Ma che tipo di procedure utilizzano e di quali strumenti si avvalgono?

Abbiamo posto alcune domande al Dott. Leonardo Pascale, co-fondatore di AML LAB, associazione che ha lo scopo di supportare le Forze dell’Ordine e i soggetti obbligati (ai sensi del DLGS 231/07) nell’approfondire le tematiche relative all’antiriciclaggio e alla due diligence.

Qual è la differenza tra KYC e Adeguata Verifica?

Sono attività che definirei complementari. Quando clienti o investitori si rivolgono a banche o Intermediari, si attiva un processo di conoscenza (detto anche On-Boarding) che inizia dalla raccolta di informazioni identificative (attraverso una sequenza di domande e la richiesta di documentazione che varia in base al soggetto), utili prevalentemente a capire chi hanno di fronte, e procede con analisi via via più complesse e articolate (Adeguata Verifica) per avere contezza di come questi "prospect" si muovano da un punto di vista finanziario, operativo, di interessi o coinvolgimento in situazioni meritevoli di chiarimenti. I Soggetti Vigilati non sono certo obbligati a “prendere” un cliente, ma fanno anche delle valutazioni commerciali: ad esempio, vedo numerosi istituti bancari ultimamente considerare molto il pricing e applicare condizioni economiche particolari in caso di un rischio percepito alto. Rischiano di più, ma guadagnano di più.

Quali sono gli strumenti o le fonti a supporto di queste analisi?

Sicuramente tecnologie gestionali in grado di conservare dati, anche di storico, elaborare modelli di rischio relativi alle diverse posizioni retail o corporate (perché possiamo parlare di singoli individui, ma anche di società), e, grazie alle quali si possono, poi, effettuare ulteriori ricerche in caso di necessità; in secondo luogo, fonti indipendenti/software che forniscono liste (ce ne sono molte disponibili sul mercato), infine, ma non certo in ordine di importanza, l’esperienza e la precisione di chi deve creare collegamenti logici tra le diverse informazioni e interpretarle correttamente.

Quanto sono attendibili le liste presenti nel mercato?

In generale, molto. Tuttavia, mi è capitato di trovare alcune lacune in diverse occasioni. Diciamo che, anche in questo caso, lavorare in modo esclusivamente “manuale”, identificando e confrontando elementi recuperati da fonti disaggregate può essere molto faticoso, oltre che inefficiente.

Se potesse creare un applicativo dei sogni, che caratteristiche avrebbe?

Un livello di automazione molto alto, proprio per ridurre le difficoltà che ho appena descritto. Credo che l’Intelligenza Artificiale andrà a sostituire molto presto le prime linee di controllo, ossia tutto quel personale impiegato nella primissima fase di analisi. Ma, anche a livello di seconda linea di controllo, sarebbe ottimo possedere uno strumento integrato che generi degli “alert” evoluti al verificarsi di certe situazioni. Non sarebbe per nulla banale poter accedere al profilo di rischio del cliente in modo dinamico così da andare a diminuire il più possibile i falsi positivi.

Ogni quanto si svolge l’Adeguata Verifica?

L’Adeguata Verifica si svolge, in primis, ogni volta che si vuole prendere in carico un cliente e può essere  ‘Ordinaria’ o ‘Rafforzata’ (dipende dal tipo di cliente). A seguito dei primi controlli si svolgono, poi, degli aggiornamenti ogni sei mesi o un anno (ma anche ogni tre mesi, quando è il caso) e ciò non toglie che si debba stare sempre all’erta e monitorare movimentazioni particolari. Anche le tempistiche di controllo vanno “personalizzate” in funzione delle diverse organizzazioni e, soprattutto, dalle policy di rischio.

Ogni Intermediario sviluppa una sua particolare procedura?

Esistono delle indicazioni basilari per tutti (quelle emanate da Banca d’Italia, Ivass, Consob, Mef, Adm per intenderci), ma, all’interno di quel perimetro, è assolutamente auspicabile che ogni Soggetto Vigilato si avvalga di software in grado di assorbire i workflow più funzionali per quella realtà. Se, da un lato, è obbligatorio dimostrare di avere un “sistema AML”, dall’altro, ognuno sceglie che tipo di profondità o ampiezza dare a questo sistema, investendo in base alla propria visione strategica. Alcuni Intermediari puntano su soluzioni molto basiche, ma si rendono presto conto che un’eccessiva rigidità non soddisfa appieno il dialogo tra diversi data base. Meglio puntare su tecnologie modulari e scalabili, da questo punto di vista, ma riscontro dei grossi gap in questo senso.

Cosa intende esattamente?

L’impegno in ambito compliance, che si tratti di tecnologie o di competenze, viene spesso visto come un mero costo e non come un asset fondamentale per evitare sanzioni o danni derivanti da decisioni poco ponderate. Molti sembrano vivere alla giornata, sperando di non incappare mai in situazioni sgradevoli, ma non considerano che i criminali sono molto qualificati e tendono a rivolgersi proprio a coloro che ritengono meno capaci di fare ricerche sul loro conto. La dotazione di procedure/personale AML e di software diversi dal semplice file excel è un enorme deterrente per i potenziali riciclatori e truffatori!

Quindi non bisogna solo stare attenti alle sanzioni del legislatore….

No, affatto. In realtà, io credo che uno dei danni peggiori possa essere di tipo reputazionale. Si sono verificati casi eclatanti di grandi e insospettabili gruppi che, anche per semplice inesperienza, sono stati coinvolti in degli scandali e hanno iniziato a perdere quote di mercato, dissipando la fiducia dei loro correntisti o investitori. La questione etica è sempre più sentita nel settore, eppure mi capita ancora di incontrare mentalità molto rigide, legate a vecchie abitudini e vecchi modi di lavorare, che condannano l’organizzazione per la quale prestano servizio ad una impreparazione preoccupante. Questo conferma che essere dei legali o aver maturato esperienza in termini di operations non garantisce alcuna sicurezza: servono tecnici e consulenti dedicati.

 

Leggi anche: 

FINTECH 2021: overview sugli strumenti gestionali

Verifiche di Banca d'Italia in tempo di Covid-19: il ruolo dell'IT e delle funzioni di controllo

Finanza e outsourcing amministrativo: conta sempre la tecnologia!