case study about aml outsourcing for providers of exchange services in italy

Avv. Giulia Arangüena – [email protected]

Nuovi obblighi,

adeguata

verifica e

adempimenti

antiriciclaggio

dei prestatori di

servizi di

conversione di

valuta virtuale Ipotesi di lavoro per la configurazione del

relativo servizio per conto dei prestatori dei

servizi di conversione di valuta virtuale

Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di

conversione di valuta virtuale

• • •

1

Nuovi obblighi, adeguata

verifica e adempimenti

antiriciclaggio dei

prestatori di servizi di

conversione di valuta

virtuale

Ipotesi di lavoro per la configurazione del relativo servizio

per conto dei prestatori dei servizi di conversione di valuta

virtuale Glossario e riferimenti normativi

Prestatore/i di Servizi: è il soggetto che offre servizi

relativi all'utilizzo di valuta virtuale, limitatamente allo

svolgimento dell'attività di conversione di valute

virtuali da ovvero in valute aventi corso forzoso.

Valuta Virtuale: la rappresentazione digitale di

valore, non emessa da una banca centrale o da

un'autorità pubblica, non necessariamente

collegata a una valuta avente corso legale,

utilizzata come mezzo di scambio per l'acquisto di

beni e servizi e trasferita, archiviata e negoziata

elettronicamente.1

Decreto: è il D.Lgs. 21 novembre 2007 n. 231 "Attuazione della direttiva

2005/60/CE concernente la prevenzione dell'utilizzo del sistema finanziario a

1 La definizione di valuta virtuale è stata introdotta nel nostro ordinamento dal D.Lgs. 25 maggio 2017, n. 90.

Tuttavia, si segnala che essa è stata mutuata dall’Autorità Bancaria Europea, che ha definito le valute virtuali

come rappresentazioni digitali di valore che non sono emesse da una banca centrale o autorità pubblica né

Case study • • •

Formalizzazione di un

contratto di

outsourcing&service tra

un Istituto di

Pagamento ed un

Prestatore di Servizi di

conversione di Valuta

Virtuale. Per la

ideazione della

struttura di contratto e

l’individuazione dei

contenuti, si è reso

necessario svolgere uno

un approfondimento

generale alla luce dei

recenti sviluppi della

disciplina

antiriciclaggio, allo

scopo di individuare

quali adempimenti

possono essere fatti

oggetto di

esternalizzazione.



• • •

2

scopo di riciclaggio dei proventi di attività criminose e di finanziamento del

terrorismo nonché della direttiva 2006/70/CE che ne reca misure di esecuzione”,

con testo in vigore dal 4 luglio 2017.

Decreto di Riforma: è il D.Lgs. 25 maggio 2017, n. 90 di “Attuazione della direttiva

(UE) 2015/849 relativa alla prevenzione dell'uso del sistema finanziario a scopo di

riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo e

recante modifica delle direttive 2005/60/CE e 2006/70/CE e attuazione del

regolamento (UE) n. 2015/847 riguardante i dati informativi che accompagnano

i trasferimenti di fondi e che abroga il regolamento (CE) n. 1781/2006”.

Provvedimento ADV: è il provvedimento della Banca d’Italia del 3 aprile 2013

recante disposizioni attuative in materia di adeguata verifica della clientela, e

ss.mm., in vigore fino al 31 marzo 2018.

Provvedimento per l’Organizzazione Interna: è il provvedimento della Banca

d’Italia del 10 marzo 2011, recante disposizioni attuative in materia di

organizzazione, procedure e controlli interni per evitare il coinvolgimento degli

intermediari finanziari in fenomeni di riciclaggio e di finanziamento del terrorismo,

e ss.mm., in vigore fino al 31 marzo 2018.

Provvedimento AUI: è il provvedimento Banca d’Italia del 3 aprile 2013, recante

disposizioni attuative perla tenuta dell’Archivio Unico Informatico (di seguito,

AUI) e per le modalità semplificate di registrazione di cui all’art. 37, commi 7 e 8

del Decreto, e ss.mm., in vigore fino al 31 marzo 2018.

Premessa operativa Con l’attuazione della direttiva (UE) n. 2015/849 (c.d. IV Direttiva Antiriciclaggio)

attraverso il Decreto Legislativo 25 maggio 2017, n. 90, entrato in vigore il 4 luglio

2017, il Decreto è stato riformato e novellato in più punti.

sono necessariamente collegate a una valuta avente corso legale, ma che vengono utilizzate da una persona

fisica o giuridica come mezzo di scambio e che possono essere trasferite, archiviate e negoziate

elettronicamente (cfr. EBA - Opinion on Virtual Currencies del 4 luglio 2014, consultabile all’indirizzo:

http://www.eba.europa.eu/documents/10180/657547/EBA-Op-2014-08+Opinion+on+Virtual+Currencies.pdf). Si

ritiene comunque preferibile la formulazione che ne ha dato la Banca d’Italia il 30.1.2015 nell’Avvertenza

sull’utilizzo delle cosiddette “valute virtuali” (cfr: https://www.bancaditalia.it/compiti/vigilanza/avvisi-

pub/avvertenza-valute-virtuali/AVVERTENZA_VALUTE_VIRTUALI.pdf), che ha definito le valute virtuali

come “rappresentazioni digitali di valore, utilizzate come mezzo di scambio o detenute a scopo di investimento, che

possono essere trasferite, archiviate e negoziate elettronicamente”, in quanto il riferimento alla finalità di

investimento appare più aderente alla realtà ed all’utilizzo corrente di molte delle valute virtuali in

circolazione, specie del Bitcoin.

http://www.eba.europa.eu/documents/10180/657547/EBA-Op-2014-08+Opinion+on+Virtual+Currencies.pdf

https://www.bancaditalia.it/compiti/vigilanza/avvisi-pub/avvertenza-valute-virtuali/AVVERTENZA_VALUTE_VIRTUALI.pdf

https://www.bancaditalia.it/compiti/vigilanza/avvisi-pub/avvertenza-valute-virtuali/AVVERTENZA_VALUTE_VIRTUALI.pdf



• • •

3

Tra le novità più rilevanti, c’è l’esplicita previsione, tra i soggetti destinatari degli

obblighi antiriciclaggio, della categoria degli altri operatori non finanziari.2 In tale

categoria, in virtù del nuovo art. 3, comma 5, lett. i) del Decreto, rientrano ora

anche i Prestatori di Servizi relativi all'utilizzo di Valuta Virtuale, limitatamente allo

svolgimento dell'attività di conversione di Valute Virtuali da ovvero in valute

aventi corso forzoso.3

1. Nuovi obblighi per i Prestatori dei Servizi di conversione di

Valuta Virtuale

1.1. Obblighi generali

Tra gli obblighi previsti dal Decreto di Riforma a carico dei Prestatori di Servizi

figurano sia obblighi specifici strettamente attinenti agli adempimenti

antiriciclaggio, sia obblighi di carattere più generale e di carattere fiscale.

Tra gli obblighi di carattere generale, il Decreto di Riforma, con l’art. 8 –

modificando la disciplina di cui al D.Lgs. 13 agosto 2010, n. 141 sui servizi di

pagamento – vi ha previsto l’inserimento, all’art. 17 bis, dei nuovi commi 8 e 8 bis,

nonché l’inserimento del comma 5 bis all’art. 30 ter, in virtù dei quali, ora, i

Prestatori di Servizi di conversione di Valuta Virtuale sono tenuti:

(i) ad iscriversi in una sezione speciale del registro tenuto dall’OAM

(l’Organismo competente per la gestione degli elenchi degli Agenti in

attività finanziaria e dei Mediatori creditizi);4

2 In tale categoria sono stati inclusi anche: a) i prestatori di servizi relativi a società e trust; b) i soggetti che esercitano

attività di commercio di cose antiche; c) i soggetti che esercitano l'attività di case d'asta o galleria d'arte; d) gli operatori

professionali in oro; e) gli agenti in affari che svolgono attività in mediazione immobiliare in presenza dell'iscrizione al

Registro delle imprese; f) i soggetti che esercitano l'attività di custodia e trasporto di denaro contante e di titoli o valori a

mezzo di guardie particolari giurate; g) i soggetti che esercitano attività di mediazione civile; h) i soggetti che svolgono

attività di recupero stragiudiziale dei crediti per conto di terzi.

3 Il legislatore italiano, con il Decreto di Riforma, adottato in attuazione della IV Direttiva Antiriciclaggio, ha anticipato le

linee di sviluppo del diritto europeo che, nel prevedere degli emendamenti al testo della IV Direttiva, ha consolidato, nel

dicembre del 2016, un testo di proposta di una nuova direttiva (c.d. V Direttiva Antiriciclaggio), nel quale sono confluite la

definizione di moneta virtuale, e l’inclusione, tra i soggetti obbligati, dei “providers of exchange services between virtual

currencies and fiat currencies” e dei fornitori di servizi di portafoglio digitale – i cc.dd. “wallet provider” – che offrono servizi

di custodia delle credenziali necessarie per accedere alle valute virtuali.

4 I Prestatori di Servizi di conversione di Valuta Virtuale, grazie all’inserimento dei nuovi commi 8 e 8 bis all’art. 17 bis del

D.Lgs. n. 141/2010, a seguito del Decreto di Riforma, sembrano essere stati equiparati ai cambiavalute, con non poche

implicazioni di ordine pratico. Infatti, fatto salvo il regime applicativo, ad oggi del tutto mancante, una delle conseguenze

di tale equiparazione potrebbe comportare la libertà di forma giuridica per l’esercizio dell’attività economica peri

Prestatori di Servizi, dato che i cambiavalute possono svolgere la loro attività anche senza la costituzione di una società di

capitali. Ciò deriva dal mutato regime a cui sono stati sottoposti i cambiavalute, che, nel corso degli anni, sono passati dal



• • •

4

(ii) a comunicare al Ministero dell’Economia l’inizio dell’operatività sul

territorio nazionale, secondo modalità e la tempistica da fissarsi con

successivo decreto;

(iii) ad aderire al sistema pubblico anti-frode sulle carte presso il Ministero

dell’Economia.

1.2. Obblighi di carattere fiscale

Il Decreto di Riforma ha apportato modifiche anche alla disciplina sul

monitoraggio fiscale (ex Decreto Legge n.167/1990, convertito in Legge 4

agosto 1990, n. 227).

Al riguardo, le modifiche in vigore dal 4 luglio 2017, sono contenute nell’art. 8,

comma 7 del Decreto di Riforma ed obbligano il Prestatore di Servizi a

comunicare all’Agenzia delle Entrate i dati analitici delle le operazioni da e

verso l’estero di importo pari o superiore a 15.000 euro, costituenti un’unica

operazione o più operazioni che appaiano collegate per realizzare

un’operazione frazionata, effettuate anche in Valuta Virtuale.

Pertanto, il Prestatore di Servizi ha l’obbligo di comunicare i trasferimenti, pari o

superiori a 15.000 euro, eseguiti anche per conto di soggetti non residenti, alla

sola condizione che il flusso provenga o sia destinato all’estero.

1.3. Obblighi specifici

Il Decreto di Riforma ha esteso ai Prestatori dei Servizi le prescrizioni in tema di

antiriciclaggio.

contesto della normativa valutaria a quello degli intermediari finanziari, e da questo ad un nuovo e diverso perimetro di

regolamentazione a seguito della riforma strutturale del credito avvenuta a partire dal 2010, (cfr D.Lgs. n. 141/2010).

Attualmente, il mestiere del cambiavalute risulta liberalizzato, seppure non del tutto svincolato dagli obblighi di legge

tanto per l’esercizio dell’attività, quanto per l’osservanza di taluni accorgimenti, ad esempio, in tema di rapporti con il

pubblico, atteso che i cambiavalute sono tenuti ad osservare gli obblighi di trasparenza bancaria nei loro contratti con la

clientela. Tale nuovo regime, dal punto di vista dei requisiti soggettivi, sembra imporre, dal punto di vista generale, il solo

obbligo di iscrizione all’elenco tenuto dall’OAM, nonché – stante il riferimento nelle disposizioni transitorie e finali del

D.Lgs. n. 141/2010 (come integrato dal D.Lgs. 19.9.2012 n. 169) agli articoli 11 e 115 T.u.l.p.s. (Testo Unico delle Leggi di

Pubblica Sicurezza), l’obbligo di esercitare l’attività di cambiavalute solo dietro il rilascio di una licenza di commercio da

parte del Questore. Ma a tale ultimo proposito, si segnala che la Circolare del Ministero dell’Interno del maggio del 2015

(https://www.indicenormativa.it/sites/default/files/circolare%20Ministero%20dell%27Interno%20cambiavalute%20115TUL

PS.PDF) ha escluso l’obbligo di richiedere la licenza per intraprendere l’attività di cambiavalute, potendosi dar luogo ad

una semplice comunicazione.

https://www.indicenormativa.it/sites/default/files/circolare%20Ministero%20dell%27Interno%20cambiavalute%20115TULPS.PDF

https://www.indicenormativa.it/sites/default/files/circolare%20Ministero%20dell%27Interno%20cambiavalute%20115TULPS.PDF



• • •

5

Tali soggetti - ancorché non vi siano ancora le nuove disposizioni e siano

applicabili, fino al 31 marzo del 2018,5 le norme di secondo livello già in vigore -

a partire dal 4 luglio del 2017, sono tenuti ad osservare:

- l’obbligo di identificazione del cliente e del c.d. titolare effettivo;

- l’obbligo di adeguata verifica del cliente e del titolare effettivo;

- l’obbligo di conservazione dei dati relativi al cliente e all’operazione;

- l’obbligo di astenersi dall’effettuare l’operazione in presenza di

impossibilità di effettuare l’adeguata verifica del cliente o del titolare

effettivo;

- l’obbligo segnalazione all’Unità di Informazione Finanziaria (UIF) presso la

Banca di Italia, in caso di operazioni sospette (c.d. SOS);

- l’obbligo di formazione del personale e dei collaboratori;

- l’obbligo di segnalare al Ministero dell’Economia i trasferimenti di denaro

contante effettuati a qualsiasi titolo per importi pari o superiori a € 3.000;

- l’obbligo di adottare presidi e procedure interne, al fine di mitigare e

gestire i rischi di riciclaggio e di finanziamento del terrorismo.

1.4. Sintesi degli obblighi a carico del Prestatore dei Servizi e regime di

esecuzione

Quasi tutti gli obblighi sopra menzionati, tranne quelli di carattere generale,

afferenti ai requisiti soggettivi del Prestatore di Servizi per lo svolgimento

dell’attività, sono eseguibili anche mediante il ricorso alle prestazioni di un

soggetto terzo attraverso la stipula di un apposito contratto di appalto di servizi

e/o di esternalizzazione, c.d. outsourcing.6

Di seguito, si elencano schematicamente tutti i predetti obblighi con la

marcatura in rosso di quelli non delegabili ad altri soggetti.

Obblighi generali Obblighi antiriciclaggio Obblighi monitoraggio

fiscale

iscrizione in una sezione

speciale del registro tenuto

dall’OAM

identificazione del cliente e

titolare effettivo

adeguata verifica del cliente e

del titolare effettivo

conservazione dei dati relativi al

cliente e all’operazione

trasmissione all'Agenzia delle

Entrate i dati assunti durante

l’adeguata verifica per

operazioni di trasferimento da e

verso l’estero di importo pari o

5 Ai sensi dell’art. 9, comma 1, del Decreto di Riforma, “Le disposizioni emanate dalle autorità di vigilanza di settore, ai sensi di

norme abrogate o sostituite per effetto del presente decreto, continuano a trovare applicazione fino al 31 marzo 2018”.

6 Con tali contratti le imprese riescono ad affidarsi a un soggetto esterno delegandogli il compito di occuparsi di un

servizio o di un processo produttivo.



• • •

6

comunicazione al Ministero

dell’Economia dell’inizio

dell’operatività secondo

modalità e tempistica da fissarsi

con successivo decreto

adesione al sistema pubblico

anti-frode sulle carte, istituito

presso il Ministero

dell’Economia

astensione dall’operazione in

presenza di impossibilità di

adeguata verifica

segnalazione all’UIF, in caso di

operazioni sospette

formazione del personale e dei

collaboratori segnalazione al Ministero

dell’Economia dei trasferimenti di

denaro contante per importi pari o

superiori a € 3.000 adozione di presidi e procedure

interne, al fine di mitigare e gestire

i rischi di riciclaggio e di

finanziamento del terrorismo.

uguale ad € 15.000 effettuato

anche in valuta virtuale

evidenza delle operazioni

intercorse con l'estero anche

per masse di contribuenti e con

riferimento ad uno specifico

periodo temporale

indicano, con riferimento a

specifiche operazioni con

l'estero o rapporti ad esse

collegate, l'identità dei titolari

effettivi

2. Obbligo di adeguata verifica

Il contenuto dell’obbligo di adeguata verifica è disciplinato dagli artt. 17, 18 e 19

del Decreto. Tali disposizioni prescrivono di: (i) identificare il cliente e verificarne

l'identità sulla base di documenti, dati o informazioni ottenuti da una fonte

affidabile e indipendente; (ii) identificare l'eventuale titolare effettivo,7 e

verificarne l'identità; (iii) ottenere informazioni sullo scopo e sulla natura del

rapporto continuativo o della prestazione professionale; e (iv) svolgere un

controllo costante nel corso del rapporto.

Il Prestatore di Servizi deve fare l’adeguata verifica:

a) in occasione dell'instaurazione di un rapporto continuativo;8

b) all'esecuzione di un'operazione occasionale che comporti la trasmissione o

la movimentazione di mezzi di pagamento di importo pari o superiore a 15.000

euro, indipendentemente dal fatto che sia effettuata con una operazione

unica o con più operazioni che appaiono collegate per realizzare

un'operazione frazionata;

ovvero, in ogni caso, al di là del limite suddetto:

7 Secondo la normativa, il titolare effettivo è la persona fisica per conto della quale è realizzata un'operazione o un'attività,

ovvero, nel caso di entità giuridica, la persona o le persone fisiche che, in ultima istanza, possiedono o controllano tale

entità, ovvero ne risultano beneficiari.

8 La definizione di “rapporto continuativo” è contenuta nel Provvedimento ADV che richiama anche, per maggiore

dettaglio, l’art. 3 del Provvedimento AUI. Il rapporto continuativo è un rapporto contrattuale di durata rientrante

nell’esercizio dell’attività istituzionale dei soggetti obbligati, che possa dare luogo a più operazioni di trasferimento o

movimentazione di mezzi di pagamento e che non si esaurisce in una sola operazione; di talché, data l’operatività di un

Prestatore di Servizi di conversione di Valuta Virtuale – generalmente offerta agli utilizzatori attraverso piattaforme

Internet che comportano l’apertura e la registrazione di account – ogni registrazione di un utente corrisponde all’apertura

di un rapporto potenzialmente di durata.



• • •

7

c) quando vi è sospetto di riciclaggio o di finanziamento del terrorismo,

indipendentemente da qualsiasi deroga, esenzione o soglia applicabile; e

d) quando vi sono dubbi sulla veridicità o sull'adeguatezza dei dati ottenuti

precedentemente ai fini dell'identificazione.

Sul dettaglio dello svolgimento dell’adeguata verifica ordinaria, semplificata e

rafforzata, nonché dell’astensione dal compimento delle operazioni, si rimanda

al Provvedimento ADV in attesa della promulgazione di una nuova disciplina

regolatoria.9

2.1. Modalità esecutive dell’adeguata verifica attraverso un terzo

Gli obblighi di adeguata verifica a carico dei Prestatori di Servizio (e degli altri

soggetti obbligati), ai sensi dell’art. 26 del Decreto, possono essere eseguiti

ricorrendo a terzi.

Il ricorso alle prestazioni di un terzo può avvenire, alternativamente, attraverso

l’utilizzo dell’adeguata verifica già svolta da parte di altri soggetti qualificati (art.

da 26 a 29 del Decreto), o attraverso l’esternalizzazione (art. 30 del Decreto).

Nel primo caso, si considerano per legge terzi qualificati al compimento degli

obblighi per conto del Prestatori di Servizi gli intermediari bancari e finanziari

qualificati, tra cui rientrano anche gli istituti di pagamento o gli istituti di moneta

elettronica.

In tale ipotesi, però, il ricorso alle prestazioni del terzo, ai sensi dell’art. 26 del

Decreto e del Provvedimento ADV, non riguarda tutte le fasi dell’adeguata

verifica, perché debbono restare in capo al soggetto obbligato, comunque

responsabile, il controllo costante dell’operatività del cliente, nonché la verifica

delle informazioni e dei documenti resi disponibili dall’intermediario terzo. Infatti,

potendosi assolvere gli obblighi di adeguata verifica, “previo rilascio di idonea

attestazione da parte del terzo che abbia provveduto ad adempiervi

9 Data la complessità delle operazioni effettuate dal Prestatore di Servizi attraverso l’utilizzo di Valuta Virtuale, si ritiene

che vi sia la presenza di più di un indice di rischiosità per come indicati dall’art. 24 del Decreto. Pertanto, pare opportuno

evidenziare che l’obbligo di adeguata verifica a cui è tenuto tale soggetto possa essere richiesto in linea di massima

attraverso l’assolvimento di modalità rafforzate. Infatti, l’operatività concreta di un Prestatore di Servizi è quasi sempre

un’operatività a distanza (prevista dal Provvedimento ADV quale principale fattore di rischio), che richiede una specifica

attenzione - in considerazione dell’assenza di un contatto diretto sia con il cliente che con i soggetti eventualmente

incaricati -, ed implica quasi sempre la presenza di diversi fattori di rischio come, ad esempio, l’utilizzo di prodotti e il

compimento di operazioni che possono favorire l’anonimato (art. 24, comma 2, lett. b, n. 2, Decreto), ovvero di “prodotti e

pratiche commerciali di nuova generazione, compresi i meccanismi innovativi di distribuzione e l'uso di tecnologie innovative” (art.

24, comma 2, lett. b, n. 5 Decreto).



• • •

8

direttamente”,10 il Prestatore di Servizi, ai sensi dell’art. 28 del Decreto, deve

comunque:

1) valutare se gli elementi raccolti e le verifiche effettuate dai soggetti terzi

siano idonei e sufficienti ai fini dell’assolvimento degli obblighi previsti dalla

legge; e

2) verificare, nei limiti della diligenza professionale, la veridicità dei

documenti ricevuti, e, in caso di dubbio sull'identità del cliente,

dell'esecutore e del titolare effettivo, provvedere, in proprio a compierne

l'identificazione e ad adempiere, in via diretta, agli obblighi di adeguata

verifica.11

Tali limitazioni, ai sensi dell’art. 30 del Decreto, non sono applicabili nel caso in

cui il regime esecutivo degli obblighi avvenga tramite esternalizzazione, sulla cui

base possono essere contrattualmente terziarizzate e delegate tutte le fasi

dell’adeguata verifica ad un soggetto diverso dal Prestatore di Servizi.

In caso di outsourcing, come chiarito dalla Comunicazione di Banca d’Italia del

30 marzo 2012: "Esternalizzazione degli adempimenti antiriciclaggio: obblighi per

gli operatori", il terzo delegato deve essere dotato di idonei requisiti tecnici e

professionali la cui permanenza va periodicamente verificata dal soggetto

obbligato.

Inoltre, i soggetti obbligati, anche in caso di esternalizzazione debbono

mantenere la conoscenza e il controllo sull’operatività e sul processo

esternalizzato di cui conservano la piena responsabilità.12 Il che implica - come

10 L’attestazione, secondo il Provvedimento ADV ancora in vigore sino al 31 marzo del 2018, deve confermare il corretto

adempimento degli obblighi antiriciclaggio da parte del terzo attestante, in relazione alle varie attività effettuate. Il

contenuto dell’attestazione può variare a seconda dello specifico obbligo di adeguata verifica cui essa è diretta; in base a

tale criterio, essa deve contenere: a) i dati identificativi del cliente, dell’esecutore e del titolare effettivo ai fini

dell’adempimento dell’obbligo di identificazione; b) l’indicazione delle tipologie delle fonti utilizzate per l’accertamento e

per la verifica dell’identità; c) le informazioni sulla natura e sullo scopo del rapporto da aprire e dell’operazione

occasionale da eseguire ai fini dell’adempimento del relativo obbligo.

11 Inoltre, secondo il Provvedimento ADV ancora in vigore fino al 31 marzo 2018, nell’ambito delle modalità di raccolta e

scambio delle informazioni con i terzi, l’intermediario responsabile deve: definire le fasi dell’adeguata verifica demandate

ai terzi, individuare i dati e le informazioni che è necessario siano trasmesse dai terzi e le modalità e la tempistica della

trasmissione; predisporre strumenti, in formato cartaceo o elettronico, per lo scambio tempestivo dei flussi informativi;

verificare, nei limiti della diligenza professionale, la veridicità dei documenti ricevuti e la correttezza e attendibilità delle

informazioni desunte dagli stessi; acquisire, ove necessario, informazioni supplementari, dai terzi stessi, dal cliente ovvero

da altre fonti.

12 In conformità con il Provvedimento per l’Organizzazione Interna ancora in vigore fino al 31 marzo 2018, tra i presidi

interni che il soggetto obbligato deve realizzare, in caso di terziarizzazione, vi è l’individuazione di referente interno che



• • •

9

precisato nella predetta Comunicazione - la chiara e appropriata definizione, in

sede contrattuale tra il Prestatore di Servizi ed il soggetto terzo: (i) dei servizi

esternalizzati; (ii) delle modalità di svolgimento; (iii) degli standard di qualità; (iv)

dei livelli di servizio assicurati in caso di emergenza nonché delle soluzioni da

adottare per garantire la continuità del servizio reso; (v) degli obblighi a carico

dell’outsourcer per assicurare una ordinata transizione nei casi di conclusione

del rapporto; (vi) del monitoraggio dell’operato dell’outsourcer; (vii)

dell’adozione di interventi adeguati in caso di livelli insoddisfacenti delle

prestazioni rese, ivi compresa l’applicazione di misure pecuniarie (es. penali) e la

risoluzione del rapporto con l’outsourcer e(viii) delle conseguenze in caso di

inadempimento.

3. Obblighi di conservazione

Tra le novità del Decreto di Riforma, una di particolare rilievo riguarda la

cancellazione dell’obbligo di registrazione dei dati successiva all’adeguata

verifica della clientela; e, quindi, l’abolizione dell’obbligo di tenuta dell’archivio

unico antiriciclaggio (c.d. AUI).

Dal 4 luglio 2017, infatti, in linea generale, è sufficiente una semplice

conservazione dei dati e dei documenti acquisiti durante l’adeguata verifica,

sia in formato cartaceo che informatico.

Tuttavia, se a livello formale risulta tale abolizione, a ben vedere, anche a

seguito delle nuove norme, l’adozione e l’utilizzo di un archivio informatico a

supporto delle attività e procedure antiriciclaggio sono ancora esigibili, almeno

sul piano strettamente pratico.

Gli artt. da 31 a 34 del Decreto prevede una serie complessa di obblighi che, da

un punto di vista pratico, non possono essere assolti senza l’ausilio di un archivio

informatico, posto che sono stabiliti:

- l’obbligo di conservazione delle informazioni per un minimo di 10 anni;

- l’obbligo di indicare: (i) la data di instaurazione del rapporto continuativo

o del conferimento dell'incarico; (ii) i dati identificativi del cliente, del

titolare effettivo e dell'esecutore e le informazioni sullo scopo e la natura

del rapporto o della prestazione; (iii) la data, l'importo e la causale

dell'operazione; (iv) i mezzi di pagamento utilizzati;

operi in stretto coordinamento funzionale con l’outsourcer, verificando le modalità di svolgimento del servizio

esternalizzato.



• • •

10

- l’obbligo di rendere noti i soggetti legittimati ad alimentare il sistema di

conservazione e accedere ai dati e alle informazioni ivi conservati;

- l’obbligo di assicurare: (i) l'accessibilità completa e tempestiva ai dati e

alle informazioni da parte delle Autorità; (ii) la tempestiva acquisizione, da

parte del soggetto obbligato, dei documenti, dei dati e delle informazioni,

con indicazione della relativa data (entro 30 giorni decorrenti:

dall'instaurazione del rapporto continuativo o dal conferimento

dell'incarico; dall'esecuzione dell'operazione o della prestazione

professionale; dalla variazione e dalla chiusura del rapporto continuativo o

della prestazione professionale); (iii) l'integrità dei dati e delle informazioni

e la non alterabilità dei medesimi successivamente alla loro acquisizione;

(iv) la trasparenza, la completezza e la chiarezza dei dati e delle

informazioni nonché il mantenimento della storicità dei medesimi;

- l’obbligo di trasmissione dei dati aggregati, c.d. SARA (previsto solo per

banche e operatori finanziari).

Inoltre, se è vero che è stato formalmente eliminato l’obbligo di tenuta dell’AUI,

tuttavia, da un lato, sono state inasprite le sanzioni,13 e, dall’altro, risultano

identici, rispetto al passato, sia gli obblighi antiriciclaggio con riguardo al

contenuto delle informazioni da acquisire o trasmettere, sia le finalità della

conservazione dei dati, atteso che i destinatari devono comunque assicurare:

1. l’ordine cronologico delle registrazioni;

2. l’inalterabilità delle registrazioni;

3. l’acquisizione di informazioni relative al cliente, al titolare effettivo, alla

prestazione professionale resa;

4. la conservazione dei dati registrati;

5. la comunicazione delle informazioni e dei dati aggregati (solo per

banche e intermediari finanziari).

Pertanto, non è coerente, né concretamente ipotizzabile che l’abolizione di un

obbligo formale come la tenuta di un registro informatico e il suo popolamento

con i dati e delle informazioni della clientela possa attuarsi dal punto di vista

pratico, poiché esso rappresenta un presidio sostanziale ed uno strumento

operativo necessario.

13 Il nuovo testo dell’articolo 57 del Decreto prevede che la violazione di tali norme comporti una sanzione amministrativa

pecuniaria pari a € 2.000 mentre, nel caso di violazioni gravi, ripetute o sistematiche ovvero plurime, la sanzione

amministrativa pecuniaria può arrivare fino a € 50.000.



• • •

11

3.1. Modalità esecutive degli obblighi di conservazione attraverso un terzo

Ai sensi dell’art. 32, comma 3, del Decreto, i soggetti obbligati possono avvalersi,

per la conservazione dei documenti, dei dati e delle informazioni, di un

autonomo centro di servizi, purché sia assicurato loro “l’accesso diretto e

immediato all’archivio stesso e ferme restando le responsabilità previste dalla

legge” (Provvedimento AUI, art. 12, comma 2).14

Inoltre, nel caso in cui gli obblighi di registrazione, comunque sempre

concretamente applicabili, e gli obblighi di conservazione vengano adempiuti

attraverso un mandato verso un soggetto terzo, diverso da un centro servizi,

l’incarico conferito ad altro destinatario, come stabilito dal Provvedimento AUI

all’art. 12, comma 2, deve essere svolto in modo che sia “assicurata l’unità

logica dell’archivio, la sua separatezza da altri archivi tenuti dal medesimo

soggetto, anche avvalendosi dei medesimi supporti hardware”.

Infine, poiché nell’assolvimento degli obblighi di conservazione dei documenti,

dei dati e delle informazioni occorre garantire il rispetto delle norme dettate dal

codice in materia di protezione dei dati personali, nonché il trattamento dei

medesimi esclusivamente per le finalità relative all’antiriciclaggio, in caso di

ricorso alle prestazioni di un terzo per gli adempimenti AUI, occorre individuare il

ruolo assunto da tale soggetto rispetto al trattamento dei dati personali dei

clienti del Prestatore di Servizi.

Al riguardo il parere dell’Autorità garante per la protezione dei dati personali,

reso con provvedimento n. 125 del 9.3.2017,15 chiarisce (al par. 5.2.) che il terzo

delegato al compimento degli obblighi AUI sia “preventivamente designato

quale responsabile del trattamento” ai sensi dell'art. 29 del codice privacy che

individua la figura del c.d. responsabile esterno del trattamento.

Tutti i predetti elementi che debbono caratterizzare il rapporto di

esternalizzazione possono e debbono confluire nel contratto di outsourcing tra il

14 E’ doveroso puntualizzare, con riferimento espresso al regime giuridico dei cambiavalute – a cui il Decreto di Riforma ha

equiparato i Prestatori dei Servizi di conversione di Valuta Virtuale prevedendone l’iscrizione in un’apposita sezione

speciale dell’elenco dei cambiavalute tenuto dall’OAM – che il Decreto del Ministero dell’Economia e delle Finanze del 2

aprile del 2015 stabilisce, all’art. 4, che l’OAM stesso ha il ruolo di autonomo centro servizi attraverso i servizi informatici

di archiviazione presenti nell’area privata del suo portale. E’ ciò in conseguenza del fatto che i cambiavalute, tenuti alla

registrazione nel sito dell’OAM ed all’iscrizione all’elenco da questo tenuto sono obbligati a trasmettere i flussi mensili di

dati relativi alle operazioni compiute. Tale obbligo, che ha carattere puramente amministrativo, per i cambiavalute può

equipararsi all’invio dei dati aggregati (c.d. flusso SARA), a cui sono tenuti gli altri intermediari finanziari nei confronti

dell’UIF.

15 Cfr http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6124534.

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6124534



• • •

12

Prestatore di Servizi ed un soggetto terzo che, come detto relativamente agli

obblighi di adeguata verifica, deve obbligatoriamente presentare altresì i

contenuti fissati dalla Comunicazione della Banca d’Italia del 30 marzo 2012 già

innanzi menzionata ed alla quale si rinvia.

4. Obblighi di segnalazione

Ai sensi dell’art. 35 del Decreto, i soggetti obbligati sono tenuti ad inoltrare,

prima del compimento di una operazione, una segnalazione alla UIF “quando

sanno, sospettano o hanno motivi ragionevoli per sospettare che siano in corso

o che siano state compiute o tentate operazioni di riciclaggio o di

finanziamento del terrorismo”.

Inoltre, l’art. 35 del Decreto detta, al comma 1, alcuni presupposti oggettivi in

presenza dei quali scatta l’obbligo di segnalazione.16 Mentre, nello svolgimento

degli obblighi di segnalazione, ai fini dell’individuazione delle operazioni sospette

e nell'indicazione dei motivi del sospetto, deve aversi particolare riguardo al

contenuto delle: i) “Istruzioni operative per l’individuazione di operazioni

sospette”, dettate – unitamente agli indicatori di anomalia - col Provvedimento

della Banca d’Italia il 24 agosto 2010; nonché ii) a quanto stabilito dal

Provvedimento della Banca d’Italia del 4 maggio 201, recante istruzioni sui dati e

le informazioni da inserire nelle segnalazioni di operazioni sospette; entrambi in

vigore fino al 31 marzo 2018 in attesa della promulgazione di una nuova

disciplina regolatoria.

4.1. Modalità esecutive degli obblighi di segnalazione attraverso un terzo

Il vecchio art. 42 del Decreto conteneva l’indicazione del soggetto investito dei

compiti di segnalazione delle operazioni sospette. Questo era chiaramente

individuato nel legale rappresentante dell’impresa (o titolare dell’attività) ovvero

in un suo delegato.

Sulla base di tale dato normativo anteriforma, il Provvedimento per

l’Organizzazione Interna, specificando il ruolo del terzo delegato, stabilisce che

“la persona nominata delegato deve essere in possesso di adeguati requisiti di

16 Talché, è considerata "operazione" sia una singola transazione sia un insieme di transazioni che appaiano tra loro

funzionalmente ed economicamente collegate. Nel corso della normale operatività, dovranno essere oggetto di

segnalazione le operazioni che per caratteristica, entità, natura, o per qualsivoglia altra circostanza conosciuta, a ragione

delle funzioni esercitate, tenuto conto anche della capacità economica e dell’attività svolta dal soggetto cui è riferita,

inducano a ritenere, in base agli elementi a disposizione, che le utilità oggetto delle operazioni medesime possano

prevenire da attività criminosa.



• • •

13

indipendenza, autorevolezza e professionalità. Il delegato non deve avere

responsabilità dirette in aree operative né deve essere gerarchicamente

dipendente da soggetti di dette aree. Il ruolo e le responsabilità del delegato

ovvero del titolare dell’attività/legale rappresentante devono essere

adeguatamente formalizzati e resi pubblici all’interno della struttura. La delega

per la valutazione e la trasmissione delle segnalazioni pervenute (ex art. 42,

comma 4, D. Lgs. n. 231/2007) può essere attribuita al responsabile

antiriciclaggio. La delega non può essere conferita al responsabile della funzione

di revisione interna né a soggetti esterni all’impresa”.

Pertanto, né la valutazione delle operazioni sospette, né il compimento delle

segnalazioni all’UIF, secondo il Provvedimento per l’Organizzazione Interna in

vigore fino al 31 marzo 2018, possono essere conferite in outsourcing ad un

soggetto esterno al destinatario degli obblighi che, difatti, è tenuto alla nomina

di un responsabile aziendale delle segnalazioni.

Con il Decreto di Riforma, ora, gli obblighi di segnalazione sono contenuti negli

articoli da 35 a 41 del Decreto. Tali disposizioni utilizzano in vari contesti e a

diverse finalità l’espressione: “il titolare della competente funzione, il legale

rappresentante o altro soggetto all'uopo delegato presso i soggetti obbligati”.

Sulla base di queste indicazioni normative ed in assenza di una nuova disciplina

attuativa, è difficile confermare l’operatività tout court del vecchio

Provvedimento per l’Organizzazione Interna che vieta l’esternalizzazione sia con

riferimento alla valutazione delle operazioni sospette, sia con riferimento al

compimento delle attività di segnalazione all’UIF. D’altra parte, però, è

innegabile che l’espressione utilizzata dal Decreto di Riforma in tema di

segnalazioni, collochi la relativa disciplina direttamente all’interno dei presidi

organizzativi di mitigazione del rischio di riciclaggio, di cui si dirà in seguito,

potendosi, pertanto, ritenere tuttora operante il divieto di esternalizzazione dei

compiti di segnalazione, se non altro con riferimento all’attività di valutazione

delle operazioni sospette.

Sulla base di ciò, così come vedremo meglio in tema di presidi e organizzazione

interna, alle cui prescrizioni sono tenuti anche i Prestatori di Servizi, si ritiene che

l’assolvimento degli obblighi di segnalazione non possa essere esternalizzato, ma

possa essere fatto oggetto, quanto agli adempimenti ed alle attività meramente

materiali di supporto, di un contratto di servizi ovvero di co-sourcing a favore di



• • •

14

un terzo, estraneo alla compagine societaria del Prestatore di Servizi;17 fermo

restando l’obbligo di individuare un responsabile aziendale delle segnalazioni

delle operazioni sospette che, come detto, può essere il legale rappresentante

o un suo delegato interno.

5. Obblighi di mitigazione del rischio – organizzazione interna

Il principio dell’approccio basato sul rischio (risk based approach) è riproposto

anche dalla nuova disciplina ed è diretto ad identificare e valutare i rischi di

riciclaggio e finanziamento del terrorismo insiti nell’esercizio delle attività svolte

dai destinatari della normativa di settore. L’identificazione e la valutazione dei

rischi è funzionale a consentirne la mitigazione attraverso l’adempimento di

specifici obblighi organizzativi, calibrati in relazione alla minaccia specifica e

aventi lo scopo di facilitare una migliore allocazione delle risorse interne dei

soggetti obbligati verso ambiti di maggiore vulnerabilità.

Al riguardo, il Decreto di Riforma sembra prescindere dalla natura finanziaria

svolta dai soggetti obbligati; che, difatti, risultano tutti indistintamente sottoposti

a determinati obblighi organizzativi, anche allorquando la loro attività di impresa

sia estranea ai tipici aspetti dell’attività finanziaria (vedi, ad esempio, le case

d’aste, o gli antiquari, ora inclusi tra i soggetti tenuti all’osservanza dei precetti

antiriciclaggio). Segno evidente quest’ultimo, che il legislatore ha valutato ex

ante ad alto rischio non solo le attività tipicamente finanziarie ovvero le attività

professionali come è stato in passato, ma interi settori economici ritenuti

particolarmente sensibili rispetto a determinati fenomeni criminosi.18

Alla luce di ciò, l’art. 16 del Decreto stabilisce, in via generale, che: “i soggetti

obbligati adottano i presidi e attuano i controlli e le procedure, adeguati alla

propria natura e dimensione, necessari a mitigare e gestire i rischi di riciclaggio e

di finanziamento del terrorismo”. Saranno poi le Autorità di vigilanza o di

controllo a dettare le norme attuative per individuare i requisiti dimensionali e

organizzativi in base ai quali i soggetti obbligati sono tenuti ad adottare, come

stabilito dal comma 2, “specifici presidi, controlli e procedure per: a) la

valutazione e gestione del rischio di riciclaggio e di finanziamento del terrorismo;

17 Per completezza si vedano le Istruzioni per l’Accesso al Portale Infostat-Uif (http://uif.bancaditalia.it/portale-infostat-

uif/istruz_acc_portale.pdf), che prevedono le diverse tipologie di utilizzazione del portale da parte dei soggetti segnalanti

attraverso i “profili gestore” e “profili operatore”.

18 La normativa di cui al Decreto di riforma, infatti, poggia su un sistema di obblighi, rivolti ad un’ampia

platea di destinatari (intermediari finanziari, imprese non finanziarie e professionisti).

http://uif.bancaditalia.it/portale-infostat-uif/istruz_acc_portale.pdf

http://uif.bancaditalia.it/portale-infostat-uif/istruz_acc_portale.pdf



• • •

15

b) l'introduzione di una funzione antiriciclaggio, ivi comprese, se adeguate

rispetto alle dimensioni e alla natura dell'attività, la nomina di un responsabile

della funzione antiriciclaggio e la previsione di una funzione di revisione

indipendente per la verifica delle politiche, dei controlli e delle procedure”.

Inoltre, a prescindere dall’emanazione della normativa di attuazione, i soggetti

obbligati – come stabilito sempre dall’art. 16 del Decreto - devono adottare

“misure proporzionate ai propri rischi, alla propria natura e alle proprie

dimensioni, idonee a rendere note al proprio personale gli obblighi cui sono

tenuti ai sensi del presente decreto, ivi compresi quelli in materia di protezione

dei dati personali. A tal fine, i soggetti obbligati garantiscono lo svolgimento di

programmi permanenti di formazione, finalizzati alla corretta applicazione delle

disposizioni di cui al presente decreto, al riconoscimento di operazioni connesse

al riciclaggio o al finanziamento del terrorismo e all'adozione dei comportamenti

e delle procedure da adottare”.

Da quanto sopra deriva che, a carico dei Prestatori di Servizi, ancorché inclusi

tra gli operatori non finanziari, sussistono degli obblighi di organizzazione interna

immediatamente applicabili a partire cioè dalla entrata in vigore del Decreto di

Riforma.

Gli obblighi organizzativi di applicazione immediata a carico del Prestatore di

Servizi, come indicato dall’art. 16 del Decreto, sono:

1) l’adozione di specifici presidi interni, controlli e procedure, adeguati alla

propria natura e dimensione (comma 1);

2) l’attuazione di programmi di formazione permanente ed aggiornamento

del personale in tema di antiriciclaggio (comma 3).

A tali obblighi, per quanto detto in precedenza in tema di segnalazione delle

operazioni sospette, si aggiunge anche quello di istituire un responsabile

aziendale delle segnalazioni all’UIF che, come già innanzi precisato, potrà essere

il legale rappresentante o titolare dell’attività del Prestatore di Servizi, ovvero un

suo delegato interno.

Se l’obbligo di realizzare programmi di formazione e aggiornamento non desta

criticità né in termini di declinazione concreta, né in termini di assolvimento

attraverso l’ausilio delle prestazioni di un terzo, l’osservanza degli obblighi sub 1)

comporta più di un problema applicativo per i Prestatori dei Servizi.



• • •

16

La declinazione concreta degli obblighi organizzativi sub 1), stando alla lettera

dell’art. 16 del Decreto,19 infatti, rende operativo al livello di normativa primaria il

modello già esistente di cui al Provvedimento per l’Organizzazione Interna

(comunque applicabile fino al 31marzo 2018). Però, tale modello è stato

elaborato da Banca d’Italia con riferimento ad un novero di soggetti obbligati

appartenenti al settore finanziario che - per quanto formulato ad ampio spettro,

includendo cioè anche entità non direttamente vigilate, come ad esempio i

mediatori creditizi o gli agenti in attività finanziaria - risulta comunque

applicabile a soggetti che esercitano attività di impresa di natura finanziaria

Tuttavia, data la specificità dell’attività del Prestatore di Servizi e l’imposizione,

per effetto del Decreto di Riforma, dell’obbligo generale di iscriversi alla sezione

speciale dell’elenco dei cambiavalute tenuto e controllato da OAM – l’autorità

che tiene anche gli elenchi dei mediatori creditizi e degli agenti in attività

finanziaria –, non è difficile ipotizzare l’estensione del modello “finanziario” dei

presidi antiriciclaggio anche per lo svolgimento dei servizi di conversione di

Valuta Virtuale, anche se è opportuno attendere i successivi sviluppi della

normativa d’attuazione prima di dare assolvimento in maniera completa a

quanto previsto dal Decreto in tema di organizzazione interna e governance.

5.1. Dettaglio degli obblighi organizzativi

Nel dettaglio gli obblighi di organizzazione a mitigazione del rischio di riciclaggio

e finanziamento del terrorismo stabiliti dal comma 2 dell’art. 16 del Decreto, si

identificano nella necessità di attuare, all’interno della propria organizzazione,

presidi, controlli e procedure finalizzate a:

a) la valutazione e gestione del rischio di riciclaggio e di finanziamento del

terrorismo;

b) l'introduzione di una funzione antiriciclaggio, ivi comprese, se adeguate

rispetto alle dimensioni e alla natura dell'attività, la nomina di un responsabile

della funzione antiriciclaggio e la previsione di una funzione di revisione

indipendente per la verifica delle politiche, dei controlli e delle procedure:

19 Ci si riferisce all’obbligo di adottare “specifici presidi, controlli e procedure per: a) la valutazione e gestione del rischio di

riciclaggio e di finanziamento del terrorismo; b) l'introduzione di una funzione antiriciclaggio, ivi comprese, se adeguate rispetto alle

dimensioni e alla natura dell'attività, la nomina di un responsabile della funzione antiriciclaggio e la previsione di una funzione di

revisione indipendente per la verifica delle politiche, dei controlli e delle procedure”, introdotto dal comma 2 dell’art. 16 del

Decreto.



• • •

17

Quanto agli adempimenti sub a), essi si sostanziano nella previsione di

procedure interne che comportino una graduazione degli obblighi di adeguata

verifica della clientela in funzione del rischio. Ci si riferisce, in particolare,

all’obbligo di procedere in via preventiva alla profilatura del rischio, compito

rimesso alla libera valutazione del soggetto obbligato, che deve comunque

adottare misure idonee a valutare il rischio di riciclaggio o di finanziamento del

terrorismo per singolo rapporto continuativo ed operazione, seguendo i criteri

oggettivi e soggettivi delineati dall’art. 17 del Decreto e delle disposizioni

attuative ancora in vigore.

Quanto agli obblighi sub b), come indicato nel Provvedimento per

l’Organizzazione Interna, e fermo restando il principio di proporzionalità coerente

con la forma giuridica, le dimensioni, l’articolazione organizzativa, le

caratteristiche e la complessità dell’attività svolta dal soggetto obbligato,

vengono in rilievo i “requisiti minimali” ivi stabiliti che impongono i seguenti

adempimenti:

➢ deve essere prevista la funzione antiriciclaggio e nominato il relativo

responsabile; è ammessa l’esternalizzazione e l’attribuzione della

responsabilità della funzione ad un amministratore, che, salvo il caso

dell’amministratore unico, deve essere privo di deleghe operative;

➢ ove l’unità di revisione interna non sia istituita, i relativi compiti possono

essere assegnati ad un amministratore, che, salvo il caso

dell’amministratore unico, deve essere privo di deleghe operative;

➢ deve essere formalizzata l’attribuzione della responsabilità per la

segnalazione delle operazioni sospette.

Sulla base di ciò, il Prestatore di Servizi deve:

1) istituire al proprio interno la funzione antiriciclaggio;20

2) nominare il responsabile della funzione antiriciclaggio;21

20 Come stabilito dal Provvedimento per l’Organizzazione Interna, la funzione aziendale antiriciclaggio deve essere

indipendente e dotata di risorse qualitativamente e quantitativamente adeguate ai compiti da svolgere, riferisce

direttamente agli organi di vertice ed ha accesso a tutte le attività dell’impresa nonché a qualsiasi informazione rilevante

per lo svolgimento dei propri compiti. Il personale addetto alla funzione deve, inoltre, essere adeguato per numero,

competenze tecnico–professionali e aggiornamento, anche attraverso l’inserimento in programmi di formazione continua.

21 Come stabilito dal Provvedimento per l’Organizzazione Interna, il responsabile della funzione antiriciclaggio deve essere

in possesso di adeguati requisiti di indipendenza, autorevolezza e professionalità, esercita funzioni aziendali di controllo

ed è nominato o revocato dall’organo di gestione. La persona incaricata della funzione non deve avere responsabilità

dirette di aree operative né deve essere gerarchicamente dipendente da soggetti responsabili di dette aree. Qualora



• • •

18

3) nominare il responsabile delle segnalazioni delle operazioni sospette.

6. Esternalizzazione degli obblighi organizzativi

Secondo quanto previsto dal Provvedimento per l’Organizzazione Interna,

tranne che per la nomina del delegato aziendale delle segnalazioni delle

operazioni sospette su cui si è già ampiamente detto in precedenza, lo

svolgimento della funzione antiriciclaggio può essere affidato a soggetti esterni

con idonei requisiti in termini di professionalità, autorevolezza e indipendenza.

Nell’ipotesi si addivenga ad un contratto di outsourcing tra il Prestatore di Servizi

ed un terzo, la responsabilità per la corretta gestione dei rischi in discorso resta,

in ogni caso, in capo all’impresa destinataria degli obblighi.

Quanto ai contenuti del contratto di outsourcing, il Provvedimento per

l’Organizzazione Interna prescrive che l’esternalizzazione deve essere comunque

formalizzata in un accordo scritto che definisca quanto meno:

- la compiuta indicazione degli obiettivi da perseguire;

- la frequenza minima dei flussi informativi nei confronti del referente interno e

degli organi di vertice e di controllo aziendali, fermo restando l’obbligo di

corrispondere tempestivamente a qualsiasi richiesta di informazioni e di

consulenza;

- gli obblighi di riservatezza delle informazioni acquisite nell’esercizio della

funzione;

- la possibilità di rivedere le condizioni del servizio al verificarsi di modifiche

normative o nell’operatività e nell’organizzazione dell’impresa

esternalizzante;

- la possibilità per le Autorità di Vigilanza e la UIF di accedere alle

informazioni utili per l’attività di supervisione e controllo.

Inoltre, anche in caso di esternalizzazione, l’impresa deve comunque nominare

un responsabile interno alla funzione antiriciclaggio (referente interno), con il

compito di monitorare le modalità di svolgimento del servizio da parte

dell’outsourcer. L’impresa dovrà inoltre adottare le cautele che sul piano

giustificato dalle ridotte dimensioni dell’impresa, la responsabilità della funzione può essere attribuita ad un

amministratore, purché privo di deleghe gestionali.



• • •

19

organizzativo sono necessarie a garantire il mantenimento dei poteri di indirizzo

e controllo da parte degli organi aziendali sulla funzione esternalizzata.

Tutti i predetti elementi che debbono caratterizzare il rapporto di

esternalizzazione possono e debbono confluire nel contratto di outsourcing tra il

Prestatore di Servizi ed un soggetto terzo che, come detto relativamente agli

obblighi di adeguata verifica e di conservazione, deve obbligatoriamente

presentare altresì i contenuti fissati dalla Comunicazione della Banca d’Italia del

30 marzo 2012 già innanzi menzionata, ed alla quale si rinvia per completezza.

case study about aml outsourcing for providers of exchange services in italy

Law