CNDCEC: nuove regole tecniche antiriciclaggio per i professionisti

CNDCEC: nuove regole tecniche antiriciclaggio per i professionisti

Il Consiglio nazionale dei dottori commercialisti e degli esperti contabili interviene con tre regole tecniche sulla prevenzione al riciclaggio e al finanziamento del terrorismo.

Le regole tecniche.

Il 23 gennaio 2019, con l’informativa n° 8/2019, il CNDCEC ha diramato le regole tecniche emanate ai sensi del Dlgs 231/2007, art. 11, co. 2.

Il Consiglio, in qualità di organismo di autoregolamentazione, ha predisposto tali regole rivolgendole a tutti gli iscritti all’Albo. Esse trattano specificamente tre dei principali obblighi in materia di antiriciclaggio:

  • L’autovalutazione del rischio;
  • L’adeguata verifica della clientela;
  • La conservazione dei documenti.

Le regole tecniche sono contenute nel documento intitolato “Obblighi di valutazione del rischio, adeguata verifica della clientela, conservazione dei documenti, dei dati e delle informazioni: regole tecniche ai sensi dell’art. 11, co. 2, del d.lgs. 231/2007 come modificato dal d.lgs. 25 maggio 2017, n. 90”.

Al fine di consentire agli iscritti l’apprendimento e la corretta applicazione delle presenti regole tecniche, il CNDCEC promuoverà specifiche attività di formazione nei prossimi sei mesi. Decorso tale periodo le regole tecniche saranno considerate vincolanti per gli iscritti.

L’autovalutazione del rischio.

L’autovalutazione del rischio consiste nella presa di coscienza delle criticità e degli aspetti di forza dell’organizzazione di ogni singolo professionista o studio professionale. È, perciò, intimamente legata ad aspetti propri di ciascun’organizzazione, quali:

  • Tipologia di clientela;
  • Area geografica di operatività;
  • Canali distributivi (riferito alla modalità di esplicazione della prestazione professionale, anche tramite collaborazioni esterne, corrispondenze, canali di pagamento, ecc.);
  • Servizi offerti;
  • Formazione propria e dei collaboratori;
  • Organizzazione degli adempimenti di adeguata verifica della clientela;
  • Organizzazione degli adempimenti relativi alla conservazione dei documenti, dati e informazioni;
  • Organizzazione in materia di segnalazione di operazioni sospette e comunicazione delle violazioni alle norme sull’uso del contante.

Particolarmente significativa è l’indicazione di istituire la funzione antiriciclaggio e/o quella di revisione indipendente:

  • Per 2 o più professionisti nello stesso studio (una sede o più), occorre introdurre la funzione antiriciclaggio e nominare il relativo responsabile;
  • Per più di 30 professionisti e più di 30 collaboratori nello stesso studio (una sede o più), occorre introdurre la funzione antiriciclaggio, nominare il responsabile antiriciclaggio e introdurre una funzione di revisione indipendente per la verifica dei presidi di controllo.

L’adeguata verifica della clientela.

Riprendendo un modus operandi già consolidato nel tempo, sin dalla prima versione del decreto del 2007, il CNDCEC pone grande importanza sulle attività di adeguata verifica della clientela.

Per agevolare i soggetti obbligati, sulla base di studi effettuati nel tempo, ha raggruppato in due distinte e specifiche tabelle le prestazioni ritenute a rischio non significativo e quelle ritenute a rischio poco significativo, abbastanza significativo e molto significativo.

La valutazione del rischio inerente la clientela muove dai due elenchi di cui sopra e si completa con l’ormai classica compilazione delle tabelle A e B che aiutano il professionista a determinare i libelli di rischio specifico connesso al cliente e alla prestazione professionale.

A seconda del risultato ottenuto, la regola tecnica n° 2 definisce le misure di adeguata verifica, che possono consistere nella semplice applicazione di regole di condotta o nelle misure semplificate, ordinarie o rafforzate di verifica.

La conservazione dei dati e delle informazioni.

La conservazione ha come obiettivo quello di impedire la perdita o la distruzione dei documenti e di mantenere nel tempo le loro caratteristiche di integrità, leggibilità e reperibilità. Può essere cartacea, informatica o una combinazione delle due, purché i sistemi adottati garantiscano il rispetto della normativa in materia di protezione dei dati personali e il loro trattamento esclusivamente per le finalità di cui al Dlgs 231/2007.

Nell’ambito di tali possibilità di conservazione, i professionisti possono continuare ad alimentare gli archivi cartacei o informatici quali il registro cartaceo o l’archivio informatico, integrando secondo quanto previsto dalle nuove disposizioni i dati relativi al titolare effettivo e alle informazioni sullo scopo e la natura del rapporto ed elidendo i dati non più obbligatori.

Qualunque sia il sistema di conservazione prescelto, occorrerà individuare i profili di autorizzazione dei vari componenti l’organizzazione e collaboratori e individuare uno o più responsabili della conservazione ai fini del rispetto della normativa in materia di protezione dei dati personali. Il sistema di conservazione prescelto deve garantire l’accesso ai documenti, alle informazioni e ai dati cartacei per il periodo prescritto dalla norma.

Aspetti legati al GDPR e criticità.

Quanto emerge dalla lettura delle regole tecniche mette in evidenza, ancora una volta, le norme in materia di protezione dei dati (il GDPR e il Codice privacy su tutte) siano da intendersi come foriere di indicazioni operative che permeano trasversalmente gli assetti organizzativi di qualunque soggetto, siano essi singoli professionisti o grandi studi associati.

Gli esiti delle valutazioni dei rischi non possono prescindere dalla bontà complessiva dei dati e delle informazioni su cui si basano; se non fossero rispettati i principii legati ai trattamenti dei dati, se i dati non fossero “buoni”, commettere errori che possono portare a segnalazioni non dovute o all’omissione di segnalazioni dovute, per esempio, può diventare estremamente probabile.

Un assetto organizzativo adeguato, quindi, è fondamentale; e rispettare quanto disposto dal CNDCEC può offrire una difesa in caso di controllo da parte del Garante o della Guardia di Finanza, in quanto assimilabili a codici di condotta.

Particolarmente rilevante diviene l’affidabilità di chi fornisce prestazioni o servizi esterni, sia per la ripartizione delle responsabilità, sia per quanto riguarda le misure di privacy by design e di privacy by default legate a strumenti informatici quali server, cloud, piattaforme varie, registri e quant’altro.

Infine, sorge un dubbio sul reale significato della locuzione “responsabili della conservazione” e “sistema di conservazione”: sono da intendere nelle accezioni definite dalla normativa in materia di conservazione a norma, in particolare dall’articolo 7, co. 1 del DPCM del 3 dicembre 2013 relativo alle regole tecniche in materia di sistemi di conservazione, o è un semplice caso di omonimia?


Fonte: Fiscal Focus

Consenso e antiriciclaggio

Consenso e antiriciclaggio

I principii di liceità del trattamento in ambito antiriciclaggio alla luce del GDPR

Tra i punti più critici di un sistema di gestione della privacy negli studi dei professionisti soggetti agli obblighi antiriciclaggio vi è certamente l’assetto documentale composto dal mandato professionale, dall’informativa e dal modulo di raccolta del consenso.

Questi tre documenti devono essere coerenti tra loro e, nell’ambito delle attività canoniche svolte per adempiere agli obblighi antiriciclaggio, se il primo e il secondo devono essere presenti, il terzo può essere superfluo.

Questo principio era già espresso nel fu art. 24 del codice privacy, che permetteva il trattamento dei dati senza consenso quando fosse necessario per adempiere a un obbligo di legge o fosse necessario per l’adempimento di un contratto di cui l’interessato fosse una delle parti.

Oggi, il GDPR consolida questo assunto ribadendo questi due aspetti e inserendone un terzo: con il Regolamento, il trattamento (legato all’antiriciclaggio) è lecito nella misura in cui sia necessario per l’esecuzione di un compito d’interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Il codice privacy, inoltre, interviene con il suo art. 2-octies, introdotto con l’ultima modifica apportata dal Dlgs 101/2018, andando a specificare direttamente quali siano le basi giuridiche applicabili per il trattamento lecito di dati personali relativi a condanne penali o reati e includendo esplicitamente l’adempimento degli obblighi previsti dalle normative vigenti in materia di prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo (tra l’altro, il successivo art. 2-undecies prevede che i diritti degli interessati siano sottoposti a limitazione a norma dell’art. 23 del GDPR, proprio per tutto ciò che è afferente all’antiriciclaggio).

Nell’ambito di un rapporto continuativo e professionale, svolto da un dottore commercialista o da un esperto contabile o da un professionista equiparabile, quindi, si osservano tutti e tre i criteri sopra citati:

  1. Il trattamento è contemplato nel mandato professionale o nel contratto di servizio e la prestazione resa è per definizione un trattamento di dati personali, oppure il trattamento ne è una parte estremamente rilevante (si pensi all’elaborazione della dichiarazione dei redditi o alla tenuta della contabilità di una ditta individuale).
  2. Il trattamento è richiesto ai soggetti obbligati dalla normativa antiriciclaggio, che non possono esimersi, con particolare riferimento al censimento e all’adeguata verifica della clientela attraverso l’approccio basato sul rischio che, talvolta, può comportare anche la profilazione o la segnalazione agli enti di controllo, su tutti la UIF o gli ordini professionali che possono fare da intermediari.
  3. Le attività richieste ai soggetti obbligati dal decreto antiriciclaggio sono, nello spirito della norma, compiti d’interesse pubblico nella misura in cui è richiesto di osservare le caratteristiche e i comportamenti della clientela e segnalare le operazioni sospettate di agevolare lo sfruttamento del sistema economico e finanziario per agevolare il riciclaggio e il terrorismo.

Ne consegue che, a ben vedere, i professionisti si trovano nella condizione piuttosto singolare di non dover acquisire il consenso al trattamento e, talvolta, poter ignorare l’esercizio dei diritti degli interessati se compiuto in contrasto con le norme antiriciclaggio e questo perché la base giuridica su cui si fonda il loro trattamento è costituita principalmente dal Dlgs 231/2007, dalle varie direttive antiriciclaggio, dai vari decreti attuativi e dagli altri atti normativi in materia, così come dalle procedure determinate dalla UIF o degli ordini professionali di riferimento, ugualmente applicabili e, in seconda battuta, dal già citato art. 2-octies, co. 3, lett. m) del Dlgs 196/2003.

Chiaramente, il presupposto irrinunciabile è che il mandato professionale sia scritto in modo adeguato, cosa che può portare vantaggi anche nel momento in cui è necessario assumere il ruolo di responsabile del trattamento dei dati, a norma dell’art. 28 del GDPR.

Altrettanto chiaro è che quanto espresso sinora non può e non deve essere applicato ai trattamenti effettuati al di fuori del perimetro tracciato dalle norme in materia di antiriciclaggio, ma afferisce a servizi o prestazioni offerte volontariamente e a discrezione del professionista.


Fonte: Fiscal Focus

Antiriciclaggio: regolamento UE sui Paesi terzi a rischio.

Antiriciclaggio:  regolamento UE sui Paesi terzi a rischio.

Il Regolamento delegato individua con un elenco aggiornato i Paesi terzi ad alto rischio riciclaggio, completando l’attuale quadro normativo revisionato nel mese di luglio.

Lo scorso 20 settembre è stato pubblicato il Regolamento (UE) 2016/1675 della Commissione, del 14 luglio 2016, che integra la direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio individuando i paesi terzi ad alto rischio con carenze strategiche  in tema di antiriciclaggio (Testo rilevante ai fini del SEE).

Questo nuovo regolamento, di fatto, concorre a completare la revisione del quadro normativo di riferimento, mutato in seguito all’aggiornamento effettuato in luglio sul decreto legislativo sull’antiriciclaggio, il Dlgs 231/2007.

L’elenco delle giurisdizioni dei paesi terzi con carenze strategiche nei rispettivi regimi di lotta contro il riciclaggio di denaro e il finanziamento del terrorismo che pongono minacce significative al sistema finanziario dell’Unione (“paesi terzi ad alto rischio”) figura nell’allegato del regolamento, il quale entra in vigore il terzo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea, ossia il 23 settembre 2017, ed è obbligatorio in tutti i suoi elementi e direttamente applicabile negli Stati membri conformemente ai trattati.

Di seguito l’elenco dei Paesi terzi indicati dal regolamento, suddivisi per categorie:

  • Paesi terzi ad alto rischio che hanno preso per iscritto un impegno politico ad alto livello a rimediare alle carenze individuate e che hanno elaborato con il GAFI un piano d’azione:
    • Afghanistan;
    • Bosnia-Erzegovina;
    • Guyana;
    • Iraq;
    • Repubblica democratica popolare del Laos;
    • Siria;
    • Uganda;
    • Vanuatu;
    • Yemen;
  • Paesi terzi ad alto rischio che hanno preso un impegno politico ad alto livello a rimediare alle carenze individuate e che hanno deciso di chiedere assistenza tecnica per l’attuazione del piano d’azione del GAFI, individuati nella dichiarazione pubblica del GAFI:
    • Iran;
  • Paesi terzi ad alto rischio che presentano rischi continui e sostanziali di riciclaggio di denaro e di finanziamento del terrorismo avendo ripetutamente omesso di rimediare alle carenze individuate, che sono individuati nella dichiarazione pubblica del GAFI:
    • Repubblica popolare democratica di Corea.

Nuove regole per i compro oro

Nuove regole per i compro oro

Seguendo l’ormai consolidato filone di pensiero che vede preferire la responsabilizzazione agli elenchi di obblighi, il Governo ha emanato un nuovo decreto legislativo volto a regolare le attività di compro oro, in modo da uniformarla con le nuove disposizioni antiriciclaggio.

L’atto normativo in questione è il Dlgs 92/2017, del 25 maggio e pubblicato sulla Gazzetta Ufficiale il 20 giugno 2017, delegato dall’articolo 15, comma 2, lettera l), della legge 170/2016.

Anzitutto, il decreto fornisce le doverose definizioni, necessarie per inquadrare il contesto di riferimento e specificare i concetti, che potrebbero essere confusi con quelli usualmente utilizzati nel linguaggio comune o in altre norme. Tra le definizioni spuntano in particolare:

  • L’attività di compro oro, ossia l’attività commerciale consistente nel compimento di operazioni di compravendita sia all’ingrosso che al dettaglio o la permuta di oggetti preziosi usati (c.d. “operazioni di compro oro”), esercitata in via esclusiva ovvero in via secondaria rispetto all’attività prevalente;
  • L’oggetto prezioso usato, che è un oggetto in oro o in altri metalli preziosi nella forma del prodotto finito o di gioielleria, di rottame, cascame o avanzi di oro e materiale gemmologico;
  • Il cliente, cioè il privato che, anche sotto forma di permuta, acquista o cede oggetti preziosi usati ovvero l’operatore professionale in oro (disciplinato, quest’ultimo, dalla legge 7/2000) cui i medesimi oggetti sono ceduti;
  • L’operatore compro oro, che è il soggetto – anche diverso dall’operatore professionale in oro – che esercita l’attività di compro oro, previa iscrizione nel registro degli operatori compro oro;
  • Il registro degli operatori compro oro è il registro pubblico informatizzato, istituito presso l’OAM, in cui gli operatori compro oro sono tenuti ad iscriversi, al fine del lecito esercizio dell’attività di compro oro;
  • I dati identificativi del cliente, cioè il nome e il cognome, il luogo e la data di nascita, la residenza anagrafica e il domicilio, ove diverso dalla residenza, gli estremi del documento di identificazione e, ove assegnato, il codice fiscale o, nel caso di soggetti diversi da persona fisica, la denominazione, la sede legale e, ove assegnato, il codice fiscale;
  • L’operazione frazionata: un’operazione unitaria sotto il profilo del valore economico, di importo pari o superiore ai limiti stabiliti dal presente decreto, posta in essere attraverso più operazioni, singolarmente inferiori ai predetti limiti, effettuate in momenti diversi ed in un circoscritto periodo di tempo fissato in sette giorni, ferma restando la sussistenza dell’operazione frazionata quando ricorrano elementi per ritenerla tale.

Saltano subito all’occhio, dunque, alcuni aspetti che potrebbero sembrare secondari nel linguaggio comune:

  • La locuzione “compro oro” è fuorviante, poiché si riferisce non solo all’oro in sé, ma a tutti gli oggetti e i metalli preziosi elencati dal Dlgs 251/1999;
  • L’oggetto prezioso usato può essere sotto qualsiasi forma, anche rottame o scarto di lavorazione.

Da rilevare anche altri aspetti:

  • L’attività, per essere lecita, deve essere censita nell’apposito registro tenuto dall’OAM (lo stesso organismo che controlla gli agenti finanziari e i mediatori creditizi) ed è subordinata ai requisiti descritti dal TULPS (RD 773/1931);
  • I limiti dell’operazione frazionata – temine mutuato dal Dlgs 231/2007 – sono posti a 500 Euro (quindi una misura specificamente contestualizzata e diversa da quanto disposto nel decreto antiriciclaggio).

Come detto in apertura, il filo logico di fondo è quello di responsabilizzare gli operatori economici, esattamente come accade in ambito antiriciclaggio in senso ortodosso.

Dunque è chiaro che l’operatore compro oro dovrà, nei limiti della sua propria impresa, fare in modo di creare un modello organizzativo che possa dare una direzione strategica e monitorare e controllare in ogni momento la vita aziendale, rilevando tempestivamente ed eventualmente comunicando nei modi e nei tempi dovuti gli aspetti più rilevanti, oltre a quelli richiesti espressamente dal testo normativo.

Tra le comunicazioni da effettuare troviamo quelle verso l’OAM, per l’iscrizione iniziale nel registro e per le successive variazioni dei dati in esso contenuti (da effettuare entro dieci giorni), e quelle verso la UIF, per la segnalazione delle operazioni sospette.

Proprio questa seconda eventuale comunicazione comporta un lavoro “occulto” non indifferente, che richiede la conoscenza e l’applicazione delle disposizioni contenute negli attuali decreti legislativi 231/2007 (in tema di antiriciclaggio e recentemente aggiornato) e 196/2003 (in materia di privacy) e nel Regolamento UE 2016/679 (anch’esso in materia privacy).

L’applicazione di queste quattro disposizioni normative è giustificata dalla volontà del legislatore di tutelare sia il sistema economico che gli interessi collettivi di sicurezza in generale, richiedendo agli operatori compro oro di avere un comportamento non solo lecito, ma anche partecipativo e proattivo, che garantisca:

  • La tracciabilità delle operazioni effettuate;
  • L’accessibilità completa e tempestiva ai dati da parte delle autorità competenti;
  • L’integrità e la non alterabilità dei medesimi dati, successivamente alla loro acquisizione;
  • La completezza e la chiarezza dei dati e delle informazioni acquisiti;
  • Il mantenimento della storicità dei medesimi, in modo che, rispetto a ciascuna operazione, sia assicurato il collegamento tra i dati e le informazioni acquisite ai sensi del presente decreto.

Chiudiamo con una rapida occhiata alle sanzioni previste:

  • L’esercizio abusivo dell’attività (dovuta alla mancata iscrizione nel registro tenuto dall’OAM) è punito con la reclusione da sei mesi a quattro anni e con la multa da 2.000 a 10.000 Euro;
  • La mancata o tardiva comunicazione delle variazioni all’OAM è punita con una sanzione amministrativa pecuniaria che parte da 1.500 Euro;
  • La mancata identificazione del cliente, così come la mancata o la non adeguata conservazione dei dati, dei documenti e delle informazioni previste, è punita con la sanzione amministrativa pecuniaria da 1.000 a 10.000 Euro;
  • La mancata o tardiva segnalazione di operazione sospetta è punita con la sanzione amministrativa pecuniaria da 5.000 a 50.000 Euro.

A proposito delle sanzioni bisogna segnalare che nei casi di violazioni gravi o ripetute o sistematiche ovvero plurime, le sanzioni amministrative pecuniarie sono raddoppiate; tuttavia, per le violazioni delle disposizioni previste dal presente decreto, ritenute di minore gravità, la sanzione amministrativa pecuniaria può essere ridotta fino a un terzo.

Il tutto senza considerare le sanzioni previste dalle altre norme citate.