Cos’è il KYB, come funziona e a che serve

L’adeguata verifica della clientela non riguarda soltanto le persone fisiche. Quando il cliente è un’azienda, la procedura KYC (Know Your Customer) si adatta di conseguenza e diventa Know Your Business, o KYB. 

Oltre a essere un obbligo di legge per i soggetti individuati dalle normative AML/CFT (anti-riciclaggio e contro il finanziamento del terrorismo), la procedura KYB è un importante strumento di risk management che permette di prevenire frodi, proteggere la supply chain e tutelarsi da rischi legali e legati alla reputazione.

Cos’è il KYB (Know Your Business)?

Il processo KYB, acronimo di Know Your Business, è una procedura di verifica che punta a stabilire la legittimità delle aziende con cui si stabiliscono rapporti commerciali. Esattamente come il KYC (Know Your Customer), il KYB è una procedura di Due Diligence volta a prevenire frodi, riciclaggio di denaro e finanziamento del terrorismo, ed è perciò uno dei pilastri fondamentali delle normative contro il finanziamento del terrorismo (CTF) e Anti-Money Laundering (AML).

A differenza del KYC, che si applica alle persone fisiche, il processo KYB viene usato per verificare l’autenticità e l’affidabilità di soggetti giuridici come le imprese risalendo, tra le altre cose, alla struttura aziendale e ai titolari effettivi delle società, o Ultimate Beneficial Owner (UBO).

Per banche, istituti finanziari, società di criptovalute e altri operatori designati dal quadro normativo AML/CFT, il KYB è un obbligo legale in quanto parte essenziale dell’Adeguata Verifica della Clientela (Customer Due Diligence - CDD). Le aziende che non rientrano nei soggetti obbligati possono adottare volontariamente procedure KYC e KYB per gestire il rischio commerciale (per esempio evitando frodi e fallimenti) e per tutelare la propria reputazione, assicurandosi di non essere associati a partner o fornitori inaffidabili o che sono finiti al centro di uno scandalo. 

Come eseguire i controlli KYB?

In breve, la procedura KYB si svolge attraverso 4 fasi principali:

1. La raccolta delle informazioni nel KYB

Come prima cosa, si richiedono al cliente informazioni e documenti allo scopo di acquisire i dati necessari a verificare l’esistenza e la legittimità dell’impresa. Tra le altre cose, vanno richiesti:

• I dati anagrafici di base, come denominazione, sede legale e Partita IVA;
• Certificato di costituzione o registrazione;
• Visura camerale aggiornata;
• Struttura organizzativa della società;
• Dichiarazione del Titolare Effettivo, ovvero delle persone fisiche che controllano l’azienda.

In alcuni casi possono essere richiesti anche statuto societario, bilanci, licenze e permessi. Le procedure KYB da applicare di volta in volta, infatti, dipendono essenzialmente dal livello di rischio associato all’impresa.

2. La Due Diligence del Know Your Business

Una volta raccolti i dati, questi vanno confrontati con quelli dei registri pubblici ufficiali (per esempio, la Camera di Commercio), al fine di verificare che le informazioni fornite dal clienti siano veritiere. Come avviene nel KYC, non esiste una procedura universale: la Due Diligence dipende infatti dal livello di rischio associato al soggetto. 

Banche e istituti finanziari devono innanzitutto raccogliere informazioni identificative di base, che gli permettano di stabilire il tipo di cliente, l’area geografica di appartenenza e il tipo di servizio richiesto: queste informazioni sono sufficienti ad eseguire una valutazione preliminare del rischio, e quindi a determinare il tipo di Due Diligence da applicare.

La Due Diligence ordinaria, per esempio, prevede di eseguire i controlli KYC su tutte le persone fisiche ai vertici dell’azienda: ciò significa verificarne l’identità, ma anche eseguire lo screening delle Sanction Lists, identificare le Persone Politicamente Esposte (PEP) e controllare l’esistenza di Adverse Media, cioè di articoli e notizie che legano il soggetto ad attività criminali o ne minano la reputazione.

Lo scopo finale di questa operazione è quello di riuscire a valutare più accuratamente i potenziali rischi associati a una determinata impresa. Perciò, dopo aver verificato i dati acquisiti ed aver attribuito un primo profilo di rischio è necessario analizzare le informazioni in modo da comprendere al meglio le caratteristiche salienti dell’impresa (struttura aziendale, gerarchia, situazione finanziaria, relazioni commerciali, etc.).

3. La valutazione del rischio nell’Adeguata Verifica KYB

La valutazione del rischio è la fase più cruciale della procedura KYB. Il quadro normativo AML segue infatti un approccio basato sul rischio (o Risk-Based Approach), che non applica misure standard ma adatta le procedure al livello di rischio di ciascun soggetto o attività. Il livello di rischio associato a una determinata impresa, come abbiamo visto, determina anche i procedimenti da applicare in materia di Due Diligence.

La valutazione del rischio avviene in base a diversi fattori, tra cui il settore di attività, la complessità della struttura societaria (alle strutture più complesse corrispondono livelli di rischio più elevati) e i risultati degli screening eseguiti in precedenza.

A questo punto l’azienda viene associata a un livello di rischio, e quindi a una Due Diligence semplificata, ordinaria o rafforzata: in questo momento si decide se è sufficiente una semplice verifica dei documenti o se sono necessari una Due Diligence standard o controlli ancora più approfonditi. Si torna perciò al secondo punto di questa lista: tantopiù è alto il livello di rischio associato a un soggetto, maggiori saranno i controlli da effettuare.

In ogni caso, è possibile procedere con l’onboarding soltanto dopo aver determinato le procedure di Due Diligence da applicare al cliente.

4. KYB: il monitoraggio continuo

La normativa AML/CFT richiede il monitoraggio costante del rapporto commerciale e dello status dell’impresa cliente, che tra le altre cose prevede l’aggiornamento periodico delle informazioni in proprio possesso. Per i clienti a basso rischio, per esempio, sono generalmente sufficienti revisioni periodiche delle visure camerali e dei Titolari Effettivi ogni 3-5 anni, mentre nella Due Diligence ordinaria questi aggiornamenti avvengono in media ogni 2-3 anni. 

C’è poi il monitoraggio delle transazioni (almeno per i soggetti obbligati), che può basarsi su alert automatici per operazioni non coerenti con il profilo dell’azienda o può prevedere controlli più mirati, che per esempio considerino il volume storico delle transazioni e il coinvolgimento di partner inattesi. Per i clienti ad alto rischio, come le PEP o aziende operanti in Paesi ad alto rischio, questo monitoraggio viene eseguito in tempo reale ed è focalizzato sull’individuazione di schemi di riciclaggio già noti, come la strutturazione o l’uso di società di comodo. In questo caso, il monitoraggio include anche il controllo regolare degli Adverse Media sui soggetti chiave della società e l’individuazione della fonte delle risorse impiegate nelle transazioni particolarmente significative.

Perché eseguire i controlli KYB?

Le procedure KYB non riguardano soltanto i soggetti obbligati come banche e assicurazioni. Professionisti e aziende, soprattutto quelli che hanno relazioni commerciali con Paesi considerati ad alto rischio AML/CFT e che lavorano con la Pubblica Amministrazione, dovrebbero considerare questo tipo di Due Diligence come una pratica di riferimento strategica. 

Controlli come quelli previsti dalle procedure KYB consentono infatti di auto-tutelarsi su diversi fronti:

• Gestione del rischio commerciale: mentre l’analisi della struttura societaria può rivelare legami opachi che possono influire sulla sua solvibilità, un controllo KYB permette di assicurarsi che i fornitori chiave non siano vulnerabili a interruzioni, instabilità finanziaria o sanzioni;
• Reputazione: lavorare con un’azienda compromessa può avere conseguenze significative sulla reputazione, minando la fiducia di clienti, investitori e stakeholder;
• Compliance: applicare la Due Diligence sui partner commerciali permette di evitare ogni coinvolgimento involontario in attività illecite, garantendo la piena conformità a leggi e regolamenti su scala locale, nazionale e internazionale.

Applicare una Due Diligence efficace a clienti, partner e fornitori permette, per esempio, di controllare le supply chain e di contrastare le frodi su pagamenti e refund e le truffe del tipo “Man in the Middle” (o frode del cambio IBAN). Aiuta inoltre a identificare la partecipazione a schemi di evasione IVA e, in generale, riduce notevolmente il rischio di incorrere in inadempienze contrattuali.