AML: che cos'è e soluzioni API a norma

L’azione antiriciclaggio, o Anti Money Laundering, si riferisce a tutte quelle attività che gli istituti finanziari e gli intermediari sono tenuti a svolgere per evitare che capitali provenienti da attività illecita vengano reintrodotti nel circuito economico. 

Per essere conformi alla normativa Anti Money Laundering (AML), i soggetti obbligati devono eseguire un’adeguata verifica del cliente, monitorare attivamente le sue operazioni e segnalare ogni transazione sospetta. 

Anti Money Laundering: cos’è

Il sistema antiriciclaggio, che in Italia è normato dal Decreto Legislativo 231/2007, nasce con la finalità di prevenire e combattere il rischio di riciclaggio di denaro proveniente da attività illecite, che viene “ripulito” tramite la sua reintroduzione in circuiti del tutto legali.

Banche, istituti finanziari, assicurazioni e diversi altri soggetti, tra cui le società di intermediazione mobiliare e i dottori commercialisti, sono tenuti a svolgere attività di antiriciclaggio. 

Ciò significa, tra le altre cose, che sono obbligati a identificare i clienti e i titolari effettivi dei soggetti giuridici che eseguono delle operazioni finanziarie e segnalare eventuali transazioni sospette.

Le normative antiriciclaggio

La normativa antiriciclaggio si compone di diversi livelli: alla base di tutto ci sono gli standard internazionali del GAFI, che costituiscono le linee guida dell’AML e che trovano espressione nella normativa comunitaria e nella legislazione nazionale.

Per riassumere, l’impianto normativo dell’antiriciclaggio è composto da:

• Raccomandazioni del GAFI (Gruppo di Azione Finanziaria Internazionale), che sono riconosciute come le linee guida fondamentali per la lotta al riciclaggio e al finanziamento del terrorismo;
• Normativa UE: la quinta Direttiva UE/2018/843, attualmente in vigore, implementa lo standard internazionale e stringe le maglie della normativa, ampliando la lista delle categorie obbligate a svolgere AML e fornendo regole più dettagliate per l'adeguata verifica delle operazioni;
• Legge italiana: introdotta con il d. lgs. 21 novembre 2007, n. 231, la normativa antiriciclaggio italiana si è aggiornata con l’entrata in vigore del d. lgs. 25 maggio 2017, n. 90, cui si aggiungono le relative disposizioni di attuazione emanate da MEF, Unità di Informazione Finanziaria per l’Italia e Autorità di vigilanza sull’antiriciclaggio (Banca d’Italia, Ivass, Consob)..

Con la quinta Direttiva, l’Unione Europea rendeva più stringente la normativa, inserendo nella platea dei soggetti obbligati i prestatori di servizi di scambio di criptovalute, i galleristi e i prestatori di servizi di portafoglio digitale. 

AML: gli obblighi antiriciclaggio

Gli intermediari e i soggetti che esercitano attività finanziaria sono tenuti a seguire le disposizioni in materia di antiriciclaggio come definite dalla normativa nazionale e internazionale.

Tra i principali obblighi antiriciclaggio ci sono i seguenti:

• compiere l’adeguata verifica della clientela: inizialmente l’operazione si svolge tramite un documento d’identità valido o individuando il titolare effettivo delle entità giuridiche, ma se il rapporto diventa continuativo assume la forma di una valutazione costante delle operazioni finanziarie e dei vari fattori di rischio ad esse associati;
• segnalare le operazioni sospette: i soggetti obbligati devono inviare una segnalazione, prima di compiere l’operazione, “quando sanno, sospettano o hanno motivi ragionevoli per sospettare che siano in corso o che siano state compiute o tentate operazioni di riciclaggio o di finanziamento del terrorismo o che comunque i fondi, indipendentemente dalla loro entità, provengano da attività criminosa” (art. 35 del d. lgs. 231/2007); 
• conservare i dati per 10 anni;
• non eseguire operazioni nel caso in cui non sia possibile svolgere l’adeguata verifica della clientela (art. 42);
• trasmettere dati e comunicazioni alla Unità di Informazione Finanziaria per l'Italia (in base alle indicazioni e alle modalità richieste dalla UIF).

A ciò va aggiunto l’obbligo di istituire percorsi di formazione e misure di controllo interne che vigilino sulle modalità di identificazione della clientela, di registrazione e conservazione dei dati e di segnalazione delle operazioni sospette.

Antiriciclaggio: l’adeguata  verifica della clientela

Uno degli obblighi più importanti stabiliti dalla normativa antiriciclaggio è quello dell’adeguata verifica della clientela, espresso nell’articolo 17 e seguenti del d. lgs. 231/2007.

La verifica della clientela viene attuata attraverso un complesso di misure che comprendono le seguenti operazioni:

• individuazione del cliente tramite documento d’identità (nel caso in cui si tratti di entità giuridica, l’identità dei rappresentanti delegati);
• individuazione dell’eventuale titolare effettivo, ovvero la persona fisica per conto della quale il cliente esegue l’operazione;
• verifica dell’identità dei soggetti tramite documenti e informazioni ottenuti da fonti affidabili;
• acquisizione di informazioni sullo scopo del rapporto continuativo;
• acquisizione di informazioni sull’operazione occasionale, se presenta un fattore di rischio;
• controllo costante nel corso del rapporto continuativo tramite “l'analisi  delle operazioni effettuate e delle attività svolte o individuate  durante tutta la durata del rapporto, in modo da verificare che esse siano coerenti con la conoscenza che il soggetto obbligato ha del cliente e del suo profilo di rischio, anche riguardo, se necessario, all'origine dei fondi” (art. 19).

Per chi omette di acquisire o verificare i dati identificativi in questione, sono previste sanzioni pecuniarie che in caso di violazioni gravi possono arrivare a 50mila euro (Art. 56).

L’antiriciclaggio nell’onboarding e nelle operazioni online

La normativa antiriciclaggio coinvolge anche le banche online, gli operatori finanziari che scambiano criptovalute e i prestatori di servizi di portafoglio digitale. Molte delle operazioni che ricadono all’interno del contrasto al riciclaggio, quindi, si svolgono online.

Come stabilito dall’articolo 19 del d. lgs. 231/2007, infatti, l’obbligo di identificazione si considera assolto anche senza la presenza fisica del cliente nel caso in cui sia questo in possesso di un’identità digitale con livello di garanzia significativo oppure quando la sua identità sia confermata da certificati qualificati utilizzati per la generazione di una firma digitale.

Salvo casi eccezionali, qualunque processo di digital onboarding presso una banca o una piattaforma di criptovalute richiede l’adeguata verifica del cliente tramite KYC (Know Your Customer), ovvero il processo che permette di identificare il cliente e verificarne l’identità.

Adeguata verifica del cliente e Customer Due Diligence (CDD)

Il processo KYC è finalizzato ad ottenere informazioni che permettano di valutare per ogni cliente il rischio di riciclaggio di denaro o di finanziamento alla criminalità. 

Oltre all’identificazione del cliente e alla verifica dei documenti, il KYC richiede infatti la raccolta di informazioni che permettano di valutare gli effettivi fattori di rischio e il monitoraggio costante delle operazioni.

In base ai profili di rischio, l’adeguata verifica del cliente può essere semplificata o più approfondita. Si svolge comunque seguendo uno schema del genere:

• raccolta delle informazioni personali di base tramite la compilazione di form online;
• identificazione del cliente (CIP) e verifica delle informazioni: l’operatore verifica la correttezza dei dati inseriti, per esempio eseguendo la verifica del codice fiscale della persona fisica;
• Customer Due Diligence (CDD): è un controllo più approfondito sul conto del cliente che utilizza dati ufficiali e database di terze parti e che permetterà di fare previsioni più accurate sulla natura dell’attività del cliente e del rapporto continuativo. Se il cliente risulta avere un punteggio di rischio medio o medio-alto, infatti, è necessario eseguire un report più approfondito della persona fisica o del soggetto giuridico che sta sottoscrivendo il contratto;
• Monitoraggio continuo per la mitigazione del rischio;
• Aggiornamento dei profili e delle informazioni dei clienti.

KYC: soluzioni API per l’antiriciclaggio

Quando il cliente è un’azienda, l’adeguata verifica del cliente necessita di ulteriori informazioni sul suo conto: oltre alla titolarità effettiva, bisogna conoscere il modello di business, il fatturato, le dimensioni e anche eventuali attività di export dell’impresa. 

Il servizio AML di Openapi nasce proprio a questo scopo: permette di accedere tramite API a oltre 300 informazioni arricchite su tutti i soggetti (privati o giuridici) che hanno un ruolo nell'azienda, a partire dalla sola Partita IVA del cliente, ed è pensato per tutte le società che vogliono accedere a dati certificati per la verifica antiriciclaggio.

Nell’ambito della Customer Due Diligence, a prescindere dal grado di rischio, è anche necessario verificare che la persona che sta eseguendo la procedura online corrisponda a quella in possesso dei documenti d’identità. 

Alcuni operatori richiedono il caricamento del documento, in altri casi è richiesto di scattare una foto di se stessi insieme al documento oppure di partecipare a una videochiamata di riconoscimento dal vivo con un operatore. 

Le API Video Identificazione di Openapi permettono di scegliere la modalità di video identificazione più adatta alle esigenze del proprio business e di adeguarsi alle disposizioni sull’adeguata verifica della clientela creando un’esperienza utente sicura e personalizzabile.