La regola tecnica del CNDCEC individua il modello sulla base delle indicazioni comunitarie
L’art. 15 del DLgs. 231/2007, come modificato dal DLgs. 90/2017, disciplina la valutazione del rischio, ponendo in capo alle autorità di vigilanza e agli organismi di autoregolamentazione il compito di stabilire criteri e metodologie di valutazione del rischio commisurati alla natura dell’attività svolta e alle dimensioni dei soggetti obbligati. Questi ultimi devono adottare procedure di valutazione del rischio “oggettive e coerenti” rispetto alle indicazioni fornite dalle autorità di vigilanza e dagli organismi di autoregolamentazione, in considerazione dei fattori di rischio connessi alla tipologia di clientela, all’area geografica di operatività, ai canali distributivi e ai prodotti/servizi offerti.
Per quanto concerne i professionisti, l’elencazione sommaria dei criteri indicati dal legislatore è completata nel suo contenuto dalle regole tecniche emanate dal CNDCEC ai sensi dell’art. 11, comma 2 del DLgs. 231/2007.
In particolare, la regola tecnica n. 1 (Autovalutazione del rischio) consente di pervenire alla determinazione del grado di esposizione del professionista a fenomeni di riciclaggio/finanziamento del terrorismo – il c.d. rischio residuo – attraverso la valutazione, da un lato, del rischio inerente all’attività, correlato alla probabilità che l’evento possa verificarsi e alle sue conseguenze, e, dall’altro, della vulnerabilità connessa al livello di adeguatezza dell’assetto organizzativo e dei presidi antiriciclaggio adottati all’interno dello studio.
Tanto la valutazione del rischio residuo quanto quella della vulnerabilità sono ancorate, nel modello indicato dalla regola tecnica, a una scala che prevede quattro livelli di rilevanza, a ciascuno dei quali è collegato un punteggio crescente da 1 a 4: non significativo, poco significativo, abbastanza significativo e molto significativo. Dal matching tra rischio inerente (a cui è attribuito un peso del 40%) e vulnerabilità (con peso maggiore, pari al 60%) emerge il rischio residuo, attraverso una matrice redatta secondo le indicazioni della Commissione europea e nel rispetto della metodologia per la mappatura dei rischi che il Comitato di Sicurezza finanziaria ha fornito agli Ordini professionali. Il rischio residuo, che a sua volta potrà essere non significativo ovvero poco, abbastanza o molto significativo, dovrà essere gestito e mitigato secondo le indicazioni fornite dall’art. 16 del DLgs. 231/2007.
Alla luce di queste ultime, tenendo conto delle dimensioni della struttura, del numero dei componenti dello studio (professionisti, collaboratori e dipendenti) e del numero delle sedi in cui viene svolta l’attività, si renderà probabilmente necessaria la nomina di un responsabile antiriciclaggio. Resta, invece, del tutto residuale la previsione, sempre contemplata dall’art. 16, relativa alla nomina di un revisore indipendente per la verifica delle politiche, dei controlli e delle procedure adottate dai soggetti obbligati. Infatti, la regola tecnica n. 1 ne delimita l’operatività agli studi con più di 30 professionisti e più di 30 collaboratori (quindi con un totale di addetti superiore a 60). Nell’ambito dei presidi per la gestione e la mitigazione del rischio, rileva altresì la formazione del personale con carattere di programmazione e permanenza.
L’adempimento, così come descritto, non è delegabile per evidenti motivi connessi alla conoscenza degli elementi che contribuiscono a determinare il rischio residuo, che è propria solo del professionista obbligato. Il relativo documento, una volta redatto, potrà essere aggiornato con cadenza triennale, salva l’insorgenza di nuovi rischi che ne rendano opportuna la revisione. Mediante l’emanazione di linee guida operative, il CNDCEC metterà a disposizione degli iscritti anche i fogli di calcolo per l’espletamento dell’obbligo.
Da ultimo, desta preoccupazione la previsione del quarto comma dell’art. 15, che impone ai professionisti di mettere le valutazioni del rischio – debitamente documentate e periodicamente aggiornate – a disposizione delle autorità e degli organismi di autoregolamentazione per l’esercizio dei rispettivi poteri.
In verità, sul piano operativo si ritiene che tale obbligo possa essere soddisfatto mediante la conservazione cartacea o informatica, secondo quanto prescritto dagli artt. 31 e 32 del DLgs. 231/2007, del documento di valutazione del rischio e del suo periodico aggiornamento.
Sul piano sanzionatorio, invece, varrà precisare che la violazione dell’obbligo di valutazione del rischio di cui all’art. 15 non rientra tra le fattispecie oggetto di sanzione diretta. Nondimeno, nel disciplinare i criteri per l’applicazione delle sanzioni amministrative pecuniarie, l’art. 67 del decreto elenca tra le circostanze rilevanti che il Ministero dell’Economia e delle finanze dovrà tenere in considerazione anche l’adozione di adeguate procedure di valutazione e mitigazione del rischio, commisurate alla natura dell’attività svolta e alle dimensioni dei soggetti obbligati. Per questi ultimi, pertanto, conformarsi al nuovo adempimento appare una scelta senz’altro opportuna.