PRENDERE SUL SERIO IL PROBLEMA
La vigilanza di compliance è sempre stata vista come la Cenerentola della vigilanza, e spesso le sue ragioni sono state sacrificate sull’altare della vigilanza prudenziale. Come riconosce la stessa Commissione Europea:
“Many prudential supervisors were predominantly focusing on crisis management and taking remedial measures in the aftermath of the 2008-2009 financial crisis and the subsequent sovereign debt crisis. As other supervisory aspects often took priority, anti-money laundering/countering the financing of terrorism issues may not always have received the required attention. Although all prudential authorities interviewed consider anti-money laundering/countering the financing of terrorism to be important, it seems priority and resources were predominantly allocated to other prudential concerns.” (REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL, 24/7/19)(1)
Tuttavia, in questo periodo di tassi zero che, probabilmente, è destinato a durare come new normal, la compliance torna protagonista.
In primo luogo, perché i danni reputazionali derivanti dal mancato rispetto della normativa di settore possono avere forti ricadute anche a livello patrimoniale. Finora i casi sono pochi, ma molto chiari. Danske Bank continua a perdere clienti, 19 mila nel primo semestre 2019, a fronte di un aumento delle proprie spese del 12%, e il rischio di perdite in conto economico che eroderanno il capitale regolamentare. Problemi simili per Deutsche Bank, implicata in diversi scandali e obbligata a spendere 13 miliardi di euro per migliorare i propri controlli (budget al 2022).
In secondo luogo, perché l’AML può rappresentare un potenziale terreno di scontro col fintech. Se da un lato, infatti, gli investimenti necessari per disegnare l’architettura AML possono costituire una barriera all’ingresso per i nuovi operatori, dall’altro lato tutto ciò può diventare un potenziale asset per i nuovi entranti, che possono progettare da zero processi migliori. E il margine è molto ampio: la quasi totalità delle banche è sostanzialmente obbligata a creare soluzioni modulari, anche molto articolate, basate su programmi di vecchia concezione e scarsa efficacia, ma ormai ben padroneggiati da tutti gli operatori. Il costo di switch verso nuovi applicativi sarebbe enorme perché richiederebbe di formare migliaia di sportellisti, gestori e preposti.
Ben diverso è lo scenario per una società fintech, che fa primariamente un ampio ricorso all’intelligenza artificiale, e probabilmente è in grado di sviluppare in house strumenti di monitoraggio più efficaci, meno costosi in termini di tempo di analisi e più solidi nel presidiare un rischio su cui regulators e supervisors stanno via via alzando il livello di attenzione.
Si muovono in questa direzione:
- la Direttiva “CRD V” (pubblicata sulla Gazzetta Ufficiale dell’Unione Europea il 7 giugno 2019)(2), che ha introdotto modifiche volte a rafforzare la cooperazione tra le competent authorities in materia di antiriciclaggio:
“Where a review, in particular the evaluation of the governance arrangements, the business model, or the activities of an institution, gives competent authorities reasonable grounds to suspect that, in connection with that institution, money laundering or terrorist financing is being or has been committed or attempted, or there is increased risk thereof, the competent authority shall immediately notify EBA and the authority or body that supervises the institution in accordance with Directive (EU) 2015/849(3) and is competent for ensuring compliance with that Directive. In the event of potential increased risk of money laundering or terrorist financing, the competent authority and the authority or body that supervises the institution in accordance with Directive (EU) 2015/849 and is competent for ensuring compliance with that Directive shall liaise and notify their common assessment immediately to EBA. The competent authority shall take, as appropriate, measures in accordance with this Directive.” (Article 97, paragraph 6)
- la Opinion of the European Banking Authority on communications to supervised entities regarding money laundering and terrorist financing risks in prudential supervision del 24 luglio 2019(4):
“Prudential supervisors are invited to draw institutions’ attention to the extent to which ML/TF concerns may have an impact on prudential objectives and highlight that they will endeavour to mutually exchange information and cooperate with AML/CFT authorities concerning individual institutions.”
IDENTIFICARE INDICATORI QUANTITATIVI DI RISCHIO
Un’interazione più solida e strutturata tra vigilanza prudenziale e AML potrà produrre buoni risultati, sotto diversi punti di vista. Per esempio dall’esperienza della vigilanza di compliance potranno essere tratte indicazioni metodologiche per migliorare la misurazione del rischio.
È possibile creare indicatori di rischio a livello probabilistico, calcolando in che modo alcuni canali e alcuni settori economici si prestino a un utilizzo da parte della criminalità.
In questa direzione si è mosso IARM(5), un progetto europeo del centro di ricerca Transcrime, che ha elaborato un indicatore composito di rischio di riciclaggio a livello di area geografica e di settore di attività economica. Per costruirlo è stato necessario analizzare le tante minacce che la criminalità pone all’economia legale e identificare i canali maggiormente utilizzati, oltre alle vulnerabilità che possono essere sfruttate. A sostegno della bontà del metodo di IARM vi è la forte correlazione emersa tra gli indicatori elaborati e le SOS raggruppate per sportello bancario.
Anche la UIF può produrre alcuni indicatori su base locale, grazie alle segnalazioni Sara: nell’ultimo Rapporto annuale dell’Unità sono disponibili informazioni, a livello di provincia, sul rischio nell’uso del contante e nella ricezione di bonifici esteri.
Un aspetto che, a parere di illustri ricercatori come Stephen Platt (cfr. Criminal Capital – How the financial industry facilitates crime), non viene sufficientemente presidiato, è il rapporto con i centri specializzati nell’offshore. Le liste del FATF non aiutano a identificare i veri Paesi “canaglia”: ciò riflette in parte scelte politiche, visto che i due paesi considerati ad alto rischio (Iran e Corea del Nord) sono minacce principalmente per gli Stati Uniti, a causa dei loro programmi di proliferazione nucleare.
È possibile però utilizzare come indicatori i risultati di analisi condotte da organizzazioni internazionali indipendenti, come quelle del Basel Institute of Governance. Oppure i due indici creati dal Tax Justice Network: il Corporate Tax Haven Index e il Financial Secrecy Index. Il primo misura i Paesi che attuano politiche fiscali aggressive per favorire le multinazionali, il secondo misura la dimensione del fenomeno del “segreto bancario” e la scala delle attività offshore.
IARM ha anche sviluppato un indicatore basato sulla struttura aziendale, che calcola i passaggi necessari per raggiungere il titolare effettivo e la presenza, nella catena partecipativa, di società che hanno sede in paesi a rischio. Tale indicatore “di opacità” potrà giovarsi del predisponendo registro dei titolari effettivi.
I diversi indicatori di rischio qui analizzati vanno utilizzati insieme, per creare una matrice multidimensionale; si potrà chiedere a banche e intermediari finanziari di stabilire il proprio “risk appetite” – come già richiesto dalla normativa prudenziale – sulla base dei valori che la propria clientela raggiunge nei diversi indicatori. Il “risk appetite” potrebbe essere comunicato annualmente all’Autorità di Vigilanza all’interno dell’esercizio di autovalutazione già in vigore (e reso obbligatorio dalla IV Direttiva a partire dal 2020), insieme ad altre grandezze utili, come, per esempio, la segmentazione della clientela per classi di rischio e la percentuale, nei rischi alti, di profili che richiedono maggiore attenzione e che non vengono colti dal modello di IARM (come i PEP).
ESISTONO DEGLI INDICATORI DI PERFORMANCE?
A livello metodologico, dobbiamo ragionare in termini di benchmarking e di auto-valutazione. Sebbene non sia facile comparare le diverse banche, alla luce dell’eterogeneità di dimensioni di attivi e di linee di business, è anche vero che è possibile creare dei cluster all’interno dei quali stabilire alcune comparazioni.
Tali confronti devono essere di natura diversa: da un lato serve avere degli indicatori di rischio (come quelli succitati), dall’altro è utile avere degli indicatori di performance. Non è difficile calcolare il tempo medio dedicato all’analisi di una transazione anomala dai preposti e in Direzione generale, alla stesura di una SOS, il tempo di on-boarding ripartito per classi di rischio di clienti.
Ancora una volta la UIF può produrre dei benchmark di aiuto, in questo caso di tipo qualitativo. Dall’ultima Relazione(6) del Direttore Clemente emerge che nel corso del 2018 la UIF ha realizzato all’interno della piattaforma Infostat un canale riservato all’invio automatico ai segnalanti di un flusso di ritorno sull’esito delle segnalazioni trasmesse, una prima proxy per comprendere l’efficacia delle proprie analisi.
Gli indicatori di performance consentirebbero inoltre di identificare le best practice degli intermediari, su cui la Banca d’Italia potrebbe redigere annualmente delle comunicazioni al sistema affinché vengano condivise.
Un fattore che potrebbe migliorare le performance degli intermediari è di natura tecnologica: migliori software di monitoraggio delle transazioni, in grado di ridurre i falsi positivi e integrare rapidamente le informazioni, impatterebbero positivamente sui tempi di analisi.
Vi sono alcune difficoltà da affrontare, il mercato dei software soffre dei difetti tipici della scarsità di informazione pubblica: è molto difficile comparare l’offerta visto che, per le ragioni finora discusse, gli intermediari stessi faticano a valutare i risultati del proprio software; in secondo luogo, non si può pensare di sperimentare più software nel tempo: i costi di switch, soprattutto a livello di esigenze di formazione, sono troppo elevati.
Come risolvere questi problemi?
Ci sono diverse strade: per esempio, affidarsi a un ente terzo, che li testa e rilascia informazioni pubbliche, come un rating. Oppure, ispirandosi a quanto previsto per i revisori legali, si dovrebbe sottoporre a controlli tutti i fornitori, e registrarli presso un elenco detenuto dal Regolatore, che procederebbe a effettuare annualmente i controlli. In che cosa potrebbero consistere tali controlli? Alcune ipotesi: la sottoposizione di transazioni simulate, oppure un confronto tra numero di falsi negativi (transazioni non identificate) e transazioni effettivamente segnalate in sede di ispezione. Le FIU hanno una quantità di dati superiore a qualsiasi intermediario: potrebbero addestrare una intelligenza artificiale e utilizzarla come riferimento per testare la qualità degli altri software.
Una volta ottenuti dei rating affidabili, l’autorità regolamentare dovrebbe richiedere negli anni un miglioramento degli standard e sanzionare gli intermediari che continuano a usare software che non rispettano i requisiti minimi.
UNA CAPITAL DECISION PER L’AML?
Una volta disponibili il risk appetite e alcuni indicatori di performance comparabili si potrebbe determinare un benchmark e chiedere agli intermediari di giustificare le differenze rispetto alla stesso. In tal modo gli intermediari dovrebbero interrogarsi sulla bontà dei propri dati: non avendo finora avuto comparatori è legittimo che non siano stati in grado di accorgersi di errori nei propri sistemi di identificazione e monitoraggio delle transazioni.
In secondo luogo, così come il Regolatore prudenziale, in esito al ciclo Srep, stima il capitale di vigilanza da aggiungere eventualmente a quello minimo regolamentare, attraverso la c.d. “capital decision”, allo stesso modo si potrebbe richiedere un piano di riduzione del risk appetite in presenza di cattivi indicatori di performance. Come conseguenza si assisterebbe a un’azione di de-risking, ma non a livello sistemico. Intermediari con migliori performance sarebbero in grado di attirare clientela potenzialmente a maggior rischio, che talvolta è anche molto redditizia – mi viene da pensare, in tal caso, all’estrema cautela delle banche nell’accettare come clienti gli exchange di criptovalute.
Infine, un aspetto di cui si tende a scrivere poco nelle analisi di antiriciclaggio, è il benessere lavorativo: vi sono ovvie tensioni e frizioni tra le funzioni più commerciali e quelle di compliance, con frequenti incomprensioni e reciproche frustrazioni. Un responsabile AML efficace e sicuro, perché dotato dei migliori strumenti disponibili, consente a tutti di lavorare meglio e concentrarsi sul proprio core business.
Le opinioni espresse e le conclusioni sono attribuibili esclusivamente all’Autore e non impegnano in alcun modo la responsabilità della Banca d’Italia.
Per approfondimenti e normative, consultare i seguenti link e/o riferimenti:
(1) REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL, 24/7/19
(2) Direttiva UE 2019/878, CRD V – del Parlamento Europeo e del Consiglio
(3) Direttiva UE 2015/849 – del Parlamento Europeo e del Consiglio
(4) Opinion on communications to supervised entities 24-07-2019, EBA
(5) Il rischio riciclaggio in Italia – Rapporto finale del progetto IARM
(6) Rapporto Annuale 2018, UIF
