Autovalutazione AML/CTF: le raccomandazioni della Banca d'Italia per gli intermediari vigilati

La Banca d’Italia ha diffuso raccomandazioni e buone prassi per gli intermediari vigilati sulla corretta autovalutazione dei rischi di riciclaggio e finanziamento del terrorismo. Il presupposto normativo è l’art. 15, comma 2, del D.Lgs. 231/2007, che impone di valutare i rischi AML/CTF in relazione a clientela, geografie, canali e offerta. Le “Disposizioni in materia di organizzazione, procedure e controlli interni” definiscono il processo e la metodologia per stimare rischio inerente, vulnerabilità dei presìdi e rischio residuo; vanno letti in coerenza con gli Orientamenti EBA (EBA/GL/2021/02).

Nel 2024 l’Autorità ha condotto un’indagine tematica per verificare la coerenza delle soluzioni adottate e individuare aree di miglioramento, esaminando modalità operative, metodologie di misurazione e flussi informativi agli organi aziendali. La capacità di autodiagnosi è ritenuta essenziale per comprendere le minacce, rafforzare i presìdi e intervenire rapidamente sulle debolezze. Le prassi condivise sono in linea con l’evoluzione europea (AML package) e mirano a migliorare dialogo interno e uso strategico degli esiti dell’esercizio.

Sul piano organizzativo, l’autovalutazione dovrebbe coinvolgere competenze eterogenee (giuridiche, economico-aziendali, statistiche, risk e compliance) e un confronto strutturato tra le funzioni di controllo. Il processo va formalizzato indicando ruoli, fasi e tempistiche, metodologie, fonti informative anche esterne, strumenti di supporto e presìdi per la qualità e la tracciabilità dei dati.

Quanto alle metodologie, si raccomandano dati quantitativi per la valutazione delle vulnerabilità, meccanismi automatizzati calibrati sul profilo dell’intermediario, scomposizione dei fattori di rischio, aree mirate di indagine e acquisizione strutturata dei giudizi delle funzioni di controllo. Nelle realtà di gruppo, l’autovalutazione deve riflettere rischi e dimensioni delle singole società mantenendo una visione consolidata.

La cultura del rischio va integrata nei processi di innovazione: l’introduzione di nuovi prodotti deve essere coordinata con gli esiti dell’autovalutazione e accompagnata da analisi di scenario. Gli organi aziendali vanno aggiornati sulle misure correttive; il Risk Appetite Framework dovrebbe includere indicatori coerenti con esiti e metodologie. Formazione e incentivi servono a diffondere consapevolezza.

Infine, occorrono presìdi per garantire qualità, coerenza e tracciabilità dei dati; nei gruppi, tassonomie comuni e architettura informativa integrata. La revisione interna deve effettuare verifiche periodiche sull’intero esercizio. Banca d’Italia invita gli intermediari a recepire tali raccomandazioni nei propri processi.