CNDCEC: nuove regole tecniche antiriciclaggio per i professionisti

Le regole tecniche
Il 23 gennaio 2019, con l’informativa n° 8/2019, il CNDCEC ha diramato le regole tecniche emanate ai sensi del Dlgs 231/2007, art. 11, co. 2.
Il Consiglio, in qualità di organismo di autoregolamentazione, ha predisposto tali regole rivolgendole a tutti gli iscritti all’Albo. Esse trattano specificamente tre dei principali obblighi in materia di antiriciclaggio:

• L’autovalutazione del rischio;
• L’adeguata verifica della clientela;
• La conservazione dei documenti.

Le regole tecniche sono contenute nel documento intitolato “Obblighi di valutazione del rischio, adeguata verifica della clientela, conservazione dei documenti, dei dati e delle informazioni: regole tecniche ai sensi dell’art. 11, co. 2, del d.lgs. 231/2007 come modificato dal d.lgs. 25 maggio 2017, n. 90”.

Al fine di consentire agli iscritti l’apprendimento e la corretta applicazione delle presenti regole tecniche, il CNDCEC promuoverà specifiche attività di formazione nei prossimi sei mesi. Decorso tale periodo le regole tecniche saranno considerate vincolanti per gli iscritti.

L’autovalutazione del rischio
L’autovalutazione del rischio consiste nella presa di coscienza delle criticità e degli aspetti di forza dell’organizzazione di ogni singolo professionista o studio professionale. È, perciò, intimamente legata ad aspetti propri di ciascun’organizzazione, quali:

• Tipologia di clientela;
• Area geografica di operatività;
• Canali distributivi (riferito alla modalità di esplicazione della prestazione professionale, anche tramite collaborazioni esterne, corrispondenze, canali di pagamento, ecc.);
• Servizi offerti;
• Formazione propria e dei collaboratori;
• Organizzazione degli adempimenti di adeguata verifica della clientela;
• Organizzazione degli adempimenti relativi alla conservazione dei documenti, dati e informazioni;
• Organizzazione in materia di segnalazione di operazioni sospette e comunicazione delle violazioni alle norme sull’uso del contante.

Particolarmente significativa è l’indicazione di istituire la funzione antiriciclaggio e/o quella di revisione indipendente:

• Per 2 o più professionisti nello stesso studio (una sede o più), occorre introdurre la funzione antiriciclaggio e nominare il relativo responsabile;
• Per più di 30 professionisti e più di 30 collaboratori nello stesso studio (una sede o più), occorre introdurre la funzione antiriciclaggio, nominare il responsabile antiriciclaggio e introdurre una funzione di revisione indipendente per la verifica dei presidi di controllo.

L’adeguata verifica della clientela
Riprendendo un modus operandi già consolidato nel tempo, sin dalla prima versione del decreto del 2007, il CNDCEC pone grande importanza sulle attività di adeguata verifica della clientela.

Per agevolare i soggetti obbligati, sulla base di studi effettuati nel tempo, ha raggruppato in due distinte e specifiche tabelle le prestazioni ritenute a rischio non significativo e quelle ritenute a rischio poco significativo, abbastanza significativo e molto significativo.

La valutazione del rischio inerente la clientela muove dai due elenchi di cui sopra e si completa con l’ormai classica compilazione delle tabelle A e B che aiutano il professionista a determinare i libelli di rischio specifico connesso al cliente e alla prestazione professionale.

A seconda del risultato ottenuto, la regola tecnica n° 2 definisce le misure di adeguata verifica, che possono consistere nella semplice applicazione di regole di condotta o nelle misure semplificate, ordinarie o rafforzate di verifica.

La conservazione dei dati e delle informazioni
La conservazione ha come obiettivo quello di impedire la perdita o la distruzione dei documenti e di mantenere nel tempo le loro caratteristiche di integrità, leggibilità e reperibilità. Può essere cartacea, informatica o una combinazione delle due, purché i sistemi adottati garantiscano il rispetto della normativa in materia di protezione dei dati personali e il loro trattamento esclusivamente per le finalità di cui al Dlgs 231/2007.

Nell’ambito di tali possibilità di conservazione, i professionisti possono continuare ad alimentare gli archivi cartacei o informatici quali il registro cartaceo o l’archivio informatico, integrando secondo quanto previsto dalle nuove disposizioni i dati relativi al titolare effettivo e alle informazioni sullo scopo e la natura del rapporto ed elidendo i dati non più obbligatori.

Qualunque sia il sistema di conservazione prescelto, occorrerà individuare i profili di autorizzazione dei vari componenti l’organizzazione e collaboratori e individuare uno o più responsabili della conservazione ai fini del rispetto della normativa in materia di protezione dei dati personali. Il sistema di conservazione prescelto deve garantire l’accesso ai documenti, alle informazioni e ai dati cartacei per il periodo prescritto dalla norma.

Aspetti legati al GDPR e criticità
Quanto emerge dalla lettura delle regole tecniche mette in evidenza, ancora una volta, le norme in materia di protezione dei dati (il GDPR e il Codice privacy su tutte) siano da intendersi come foriere di indicazioni operative che permeano trasversalmente gli assetti organizzativi di qualunque soggetto, siano essi singoli professionisti o grandi studi associati.

Gli esiti delle valutazioni dei rischi non possono prescindere dalla bontà complessiva dei dati e delle informazioni su cui si basano; se non fossero rispettati i principii legati ai trattamenti dei dati, se i dati non fossero “buoni”, commettere errori che possono portare a segnalazioni non dovute o all’omissione di segnalazioni dovute, per esempio, può diventare estremamente probabile.

Un assetto organizzativo adeguato, quindi, è fondamentale; e rispettare quanto disposto dal CNDCEC può offrire una difesa in caso di controllo da parte del Garante o della Guardia di Finanza, in quanto assimilabili a codici di condotta.

Particolarmente rilevante diviene l’affidabilità di chi fornisce prestazioni o servizi esterni, sia per la ripartizione delle responsabilità, sia per quanto riguarda le misure di privacy by design e di privacy by default legate a strumenti informatici quali server, cloud, piattaforme varie, registri e quant’altro.

Infine, sorge un dubbio sul reale significato della locuzione “responsabili della conservazione” e “sistema di conservazione”: sono da intendere nelle accezioni definite dalla normativa in materia di conservazione a norma, in particolare dall’articolo 7, co. 1 del DPCM del 3 dicembre 2013 relativo alle regole tecniche in materia di sistemi di conservazione, o è un semplice caso di omonimia?
.