ofac

Controlli antiterrorismo e opportunità inter-funzionali

29 January 2019

di Tommaso TOVAGLIERI e Giuseppe STROPPA

A seguito dei tristemente noti fatti di terrorismo che si sono susseguiti nel tempo a partire dal 2011, il livello di attenzione in materia di controlli antiterrorismo è stato innalzato in riferimento a molteplici ambiti nella vita quotidiana dei singoli cittadini e delle imprese.

In particolare, com’è facilmente comprensibile, altrettanta attenzione è stata dedicata nello specifico a quelle imprese finanziarie che gestiscono componenti che potrebbero, a loro insaputa, contribuire ad attività di tipo terroristico. Tale attenzione è testimoniata dall’evoluzione in volume delle attività sanzionatorie di enti regolatori che intervengono in prima persona per evitare che ciò possa accadere.

Il più attivo in tal senso è il dipartimento che all’interno del Tesoro Americano si occupa di controllare i beni stranieri (Office of Foreign Asset Control – OFAC). Nel corso del 2018, questo dipartimento ha comminato sanzioni di entità rilevante (circa 16 milioni di dollari) a primari istituti bancari e assicurativi per vulnerabilità riscontrate nei loro processi di controllo sulla base clienti e sulle transazioni intrattenuti con soggetti e/o paesi in Black list.

A titolo di esempio, durante il solo 2018 OFAC ha sanzionato Société Générale S.A. per 53.9 milioni di dollari e JPMorgan Chase Bank per 5.2 milioni di dollari per violazioni multiple sulle normative in ambito sanzioni internazionali. A tal proposito si ricorda che ad oggi la sanzione più alta mai comminata da parte di tale Istituto ammonta a circa 9 miliardi di dollari, nei confronti di BNP Paribas nel 2014.

Di seguito si riportano le principali sanzioni comminate dal 2015 ad oggi nei confronti dei top player finanziari. Source OFAC

OFAC Sanctions

PROCESSI AZIENDALI E CONTROLLI

I requisiti sostanziati dagli enti regolatori come OFAC insistono principalmente su tre direttrici:

  • filtering delle transazioni economiche sostenute,
  • screening dei soggetti (siano essi persone fisiche o persone giuridiche) con i quali una società intrattiene relazioni contrattuali e
  • training dei propri dipendenti e dirigenti sulla materia sanzioni internazionali.

Chiaramente, tali direttrici richiedono interventi mirati su diversi processi aziendali e differenti sistemi informatici e tecnologie a supporto.

Partendo dal filtering, è evidente come tale tipologia di controllo debba innestarsi sui processi aziendali che governano transazioni economiche in entrata e in uscita, consentendo di identificare quanto più tempestivamente possibile operazioni con soggetti o paesi colpiti da sanzioni o attenzionati. Allo stesso tempo, affinché tale tipologia di controllo sia efficace, deve essere garantita la possibilità di bloccare altrettanto tempestivamente le transazioni sospette in modo tale da non incorrere in violazioni delle normative sulle sanzioni internazionali.

Lo screening deve riguardare, invece, non solo i processi attraverso i quali una società instaura un rapporto contrattuale con un soggetto (sia esso un fornitore nel senso più ampio del termine, un suo dipendente o un suo cliente) ma anche i processi di aggiornamento dei dati anagrafici di tali soggetti, che intercorrono durante la prosecuzione del rapporto contrattuale.

Infine, il training deve insistere sui tradizionali processi di formazione del personale agendo su differenti livelli; deve riguardare, infatti, in maniera più generale ogni dipendente che viene assunto in maniera temporanea o continuativa e, in maniera più approfondita, quei dipendenti che operativamente e managerialmente sono maggiormente esposti a situazioni che potrebbero generare violazioni delle normative sulle sanzioni internazionali.

TECNOLOGIE E SUPPORTO

La costante evoluzione tecnologica degli ultimi anni e l’innestarsi di pratiche di data governance sempre più robuste, consentono alle società di dotarsi di strumenti informatici e tecnologie che facilitino soprattutto i controlli di filtering e screening.

Per quanto riguarda il primo tipo di controllo, tecnologie real-time possono consentire, ad esempio nel settore assicurativo, di controllare per l’appunto in tempo reale la provenienza e l’origine dei fondi utilizzati per i versamenti iniziali e aggiuntivi, così come i conti correnti bancari sui quali viene richiesta la liquidazione di una polizza.

Per la seconda tipologia di controllo, invece, è fondamentale disporre di strumenti di master data management che accentrino i dati di tutti i soggetti con i quali la compagnia ha un rapporto contrattuale. Tale strumento consente infatti, non solo di poter disporre di tutti i dati necessari per ricercare eventuali coincidenze di nominativi contenuti nelle liste OFAC o di altri enti regolatori, ma anche di gestire le attività di data quality.

SINERGIE INTER-FUNZIONALI DERIVANTI DA PIANI DI REMEDIATION

Poiché anche molte realtà operanti in Italia sono incorse in una sanzione comminata dall’OFAC, le stesse hanno definito assieme all’ente americano un piano di rafforzamento delle misure di controllo in essere, volto a mitigare e ridurre l’importo delle sanzioni da sostenere.

Tali piani spesso prevedono l’implementazione di attività di remediation dati e di verifiche aggiuntive sui soggetti che hanno un rapporto contrattuale con la Società. Concentrandoci in particolare sulle attività di screening, un buon numero di Società ha di recente avviato dei progetti finalizzati all’implementazione di un sistema di Master Data Management con l’obiettivo di accentrare e gestire tutte le anagrafiche dei soggetti che intrattengono una relazione contrattuale con la compagnia (clienti, beneficiati, fornitori, dipendenti e istituzioni finanziarie). Il vantaggio della tecnologia che si adotta è anzitutto quello di consentire uno screening giornaliero dei dati di questi soggetti con le liste OFAC e con le Black list dei principali Enti regolatori.

Tale sistema, consente anche di aumentare la qualità dei dati stessi portando vantaggi dei quali beneficiano altre funzioni aziendali. Ad esempio nel contesto assicurativo, una maggior qualità dei dati dei clienti e dei beneficiati facilita la funzione Commerciale nell’esecuzione di analisi della clientela e nello sviluppo di prodotti mirati, e la funzione Operations nel rispettare più facilmente i requisiti IVASS per il tema delle cosiddette “polizze dormienti“. Infine, tale sistema può essere utilizzato anche dalla funzione Data Protection per gestire al suo interno i consensi privacy forniti dagli stessi soggetti ed eseguire più velocemente le richieste degli stessi interessati, secondo quanto previsto dalla General Data Protection Regulation (GDPR).

Per consentire il corretto svolgimento e l’ottimizzazione di queste attività, all’interno delle attività di progetto, il mercato sta vagliando l’applicazione di tecnologie innovative, quali machine learning per supportare gli operatori nella gestione e correzione dei dati anagrafici e la blockchain per la certificazione e la notarizzazione dei consensi privacy forniti.

Appare evidente quindi che anche da circostanze inizialmente sfavorevoli, quali questo tipo di sanzioni, una Società possa non solo mitigare l’importo della sanzione stessa, ma anche trarre benefici in termini di adozione di tecnologie innovative ed efficientamento dei propri processi.

 

Intervento di:

Tommaso TOVAGLIERI, Responsabile Ufficio Compliance e Controlli Permanenti, Crédit Agricole Vita S.p.A.

Giuseppe STROPPA, Compliance and Permanent Controls Analyst, Crédit Agricole Vita S.p.A.

 



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *