Art. 13
Modifiche al regolamento IVASS n. 44/2019
1. All'articolo 2, comma 1,
a) alla lettera l), dopo le parole «Unione europea» sono aggiunte
le parole «o in un Paese aderente allo Spazio economico europeo»;
b) alla lettera m), le parole «o in uno Stato terzo» sono
eliminate; le parole «agli articoli 116-quater e 116-quinquies» sono
sostituite dalle parole «all'articolo 116-quinquies»;
c) dopo la lettera vv), e' aggiunta la lettera «ww) "sede
centrale": gli uffici dell'impresa con sede legale in uno Stato
membro dell'Unione europea o in un Paese aderente allo Spazio
economico europeo che svolgono funzioni equivalenti a quelle della
direzione generale e amministrativa di cui all'articolo 14, comma 1,
lettera b) del codice».
2. All'articolo 3, dopo la lettera d), e' aggiunta la lettera «e)
alle imprese di assicurazione aventi sede legale e amministrazione
centrale in un altro Stato membro dell'Unione europea o in un Paese
aderente allo Spazio economico europeo, che operano in Italia in
regime di libera prestazione di servizi, limitatamente alle
disposizioni di cui al Capo II, Sezione VI».
3. All'articolo 4, comma 3, lettera b), sub i.), e lettera c),
all'articolo 5, comma 2, all'articolo 6, comma 2, all'articolo 7,
comma 2, all'articolo 8, comma 2, all'articolo 10, comma 2,
all'articolo 17, comma 4 e all'articolo 23, comma 2, le parole
«direzione generale» sono sostituite dalle parole «sede centrale».
4. All'articolo 16 e' aggiunto il seguente comma 25 «Le
disposizioni di cui ai precedenti commi 1, 2, da 8 a 15, da 17 a 22,
si applicano anche quando i compiti di cui all'articolo 14 sono
attribuiti - ai sensi dell'articolo 23, comma 2 - alla funzione che
svolge compiti omologhi presse la sede centrale.»
5. All'articolo 18, il comma 2 e' sostituito dal seguente:
«Gli intermediari assicurativi di cui all'art. 109, comma 2,
lettera b), nonche' i soggetti che svolgono attivita' analoga a
quella dei menzionati intermediari e operano in Italia in regime di
stabilimento - annotati nell'elenco annesso al registro degli
intermediari assicurativi e riassicurativi a seguito della notifica
in coerenza con quanto previsto dall'articolo 116-quinquies del
codice - inviano la segnalazione direttamente alla UIF, qualora non
sia individuabile un'impresa di riferimento. Ai fini dell'adempimento
dell'obbligo di cui all'articolo 36, comma 3 del decreto
antiriciclaggio, gli intermediari di cui all'art. 109, comma 2,
lettera d), nonche' i soggetti che svolgono attivita' analoga a
quella dei menzionati intermediari e operano in Italia in regime di
stabilimento - annotati nell'elenco annesso al registro degli
intermediari assicurativi e riassicurativi a seguito della notifica
in coerenza con quanto previsto dall'articolo 116-quinquies del
codice, nonche' gli intermediari assicurativi stabiliti senza
succursale, inviano la segnalazione all'impresa di riferimento anche
in relazione alle "stesse operazioni" gia' segnalate direttamente
alla UIF e danno comunque notizia all'impresa dell'avvenuta
segnalazione di uno "stesso cliente". Si considerano "stesse
operazioni" quelle in cui i premi - iniziale, ricorrente, aggiuntivo
- sono stati pagati, in tutto o in parte, con liquidita' o titoli
oggetto dell'autonoma segnalazione dell'intermediario assicurativo
alla UIF. Gli intermediari assicurativi definiscono, secondo un
approccio fondato sul rischio, il periodo antecedente il pagamento
del premio da prendere in considerazione a tal fine, che comunque non
puo' essere inferiore a trenta giorni o a quello piu' lungo definito
dall'impresa negli accordi di distribuzione.»
6. Nel Capo II, dopo l'articolo 28, e' inserita la seguente:
«Sezione VI
Valutazione dei rischi di riciclaggio e di finanziamento del
terrorismo
Art. 28-bis.
Disposizioni generali
1. Le imprese svolgono periodicamente l'autovalutazione dei rischi
di riciclaggio e di finanziamento del terrorismo, attraverso una
metodologia strutturata in due macro-attivita':
a) valutazione del rischio intrinseco e delle vulnerabilita', che
consiste nell'individuare in che modo le minacce, in relazione
all'attivita' esercitata, interessano l'impresa e in quale misura i
presidi aziendali risultano vulnerabili ad esse;
b) determinazione del livello di rischio residuo e delle relative
iniziative di mitigazione, attraverso lo sviluppo e l'attuazione di
politiche e procedure per fronteggiare il rischio cui l'impresa
rimane esposta.
2. La funzione antiriciclaggio riporta gli esiti dell'esercizio di
autovalutazione nella relazione annuale di cui all'articolo 14,
descrivendo le fasi del processo, le funzioni coinvolte, i dati e le
informazioni alla base delle valutazioni effettuate, i risultati
ottenuti e le iniziative di adeguamento eventualmente necessarie.
3. Per i gruppi assicurativi, l'ultima societa' controllante
italiana coordina l'attivita' svolta da ciascuna delle compagnie
appartenenti al gruppo e da' conto nella propria relazione degli
esiti delle singole entita', valutando la rilevanza dei rischi
residui per l'intero gruppo.
4. Gli intermediari assicurativi di cui all'articolo 109, comma 2,
lettera d) del codice, nonche' i soggetti che svolgono attivita'
analoga a quelle dei menzionati intermediari e operano in Italia in
regime di stabilimento - annotati nell'elenco annesso al registro
degli intermediari assicurativi e riassicurativi a seguito della
notifica in coerenza con quanto previsto dall'articolo 116-quinquies
del codice - includono il rischio di riciclaggio connesso alla
distribuzione nel territorio della Repubblica di prodotti
assicurativi rientranti nei rami di attivita' elencati all'articolo
2, comma 1, del codice, nell'ambito dell'esercizio annuale di
autovalutazione condotto in conformita' con le «disposizioni in
materia di organizzazione, procedure e controlli interni volti a
prevenire l'utilizzo degli intermediari a fini di riciclaggio e di
finanziamento del terrorismo» emanate dalla Banca d'Italia ai sensi
dell'articolo 7, comma 1, del decreto legislativo n. 231/2007.
L'attivita' di intermediazione assicurativa viene sempre considerata
come separata linea di business da sottoporre a specifica valutazione
del rischio.
Art. 28-ter.
Criteri per la valutazione del rischio intrinseco
1. Ai fini dell'identificazione e valutazione del rischio
intrinseco le imprese valutano almeno i seguenti elementi:
a) la composizione dei rami vita in cui l'impresa opera;
b) l'ammontare annuale dei premi lordi contabilizzati e delle
prestazioni liquidate nonche' il corrispondente numero di polizze e
di clienti;
c) i mercati geografici di riferimento (almeno a livello di
singolo paese);
d) i canali distributivi utilizzati;
e) il numero, e il corrispondente ammontare di premi versati e
prestazioni liquidate, di:
i) clienti classificati nelle piu' elevate fasce di rischio,
anche per la presenza - in qualita' di contraente o di beneficiario o
di rispettivo titolare effettivo - di PEP, compresi i familiari e/o i
soggetti che mantengono stretti legami, nonche' di titolari di
cariche pubbliche locali;
ii) titolari effettivi di polizze stipulate tramite societa'
fiduciarie e trustee nell'ambito di accordi di trust;
f) la presenza di succursali situate in paesi terzi ad alto
rischio, in particolare se ad esse e' stato chiesto dall'ultima
societa' controllante italiana di applicare misure supplementari per
far fronte al rischio di riciclaggio e di finanziamento del
terrorismo;
g) il paese estero di origine e di destinazione dei fondi
relativi ai premi pagati e prestazioni liquidate, con particolare
riguardo ai paesi terzi ad alto rischio»;
h) gli elementi significativi risultanti dalle relazioni e
dall'ulteriore documentazione proveniente dalle funzioni di controllo
interno;
i) le risultanze delle verifiche, ispettive e a distanza,
condotte dalle Autorita'.
2. Le imprese definiscono un proprio indicatore attraverso il quale
misurare il livello di rischio intrinseco, da ricondurre in una delle
quattro categorie (rischio basso, rischio medio-basso, rischio
medio-alto, rischio alto) sulla base dei criteri di attribuzione
orientativamente descritti nell'allegato 1 - Tabella A.
3. Ai fini della valutazione, le imprese tengono conto anche di
informazioni ricavate da fonti esterne, tra le quali rilevano:
l'analisi nazionale dei rischi condotta sotto l'egida del Comitato di
sicurezza Finanziaria; le liste e i documenti emanati da istituzioni
internazionali e dai governi nazionali in merito a soggetti ed
entita' sospettati di attivita' terroristica.
4. L'attribuzione del livello di rischio viene accompagnata dalla
descrizione degli elementi di valutazione considerati, delle analisi
effettuate e delle motivazioni che hanno determinato le scelte.
Art. 28-quater.
Analisi delle vulnerabilita'
1. Le imprese adottano e attuano politiche e procedure idonee a
mitigare il rischio intrinseco di riciclaggio e di finanziamento del
terrorismo identificato ai sensi dell'articolo 28-ter.
2. Le imprese definiscono un proprio indicatore per misurare la
vulnerabilita' del sistema dei presidi, tenendo anche conto dei dati
quantitativi concernenti le misure di mitigazione del rischio
relative a premi e prestazioni liquidate, riportati nel foglio
elettronico di cui all'articolo 28-sexies.
3. La vulnerabilita' cosi' misurata andra' ricondotta in una delle
quattro categorie (vulnerabilita' non significativa, vulnerabilita'
poco significativa, vulnerabilita' abbastanza significativa,
vulnerabilita' molto significativa) sulla base dei criteri di
attribuzione orientativamente descritti nell'allegato 1 - Tabella B.
Art. 28-quinquies.
Determinazione del rischio residuo
1. La combinazione dei giudizi sul rischio intrinseco e sulla
vulnerabilita' determina, in base alla matrice illustrata
nell'allegato 1 - Tabella C, l'attribuzione della fascia di rischio
residuo, secondo una scala di quattro valori (rischio residuo non
significativo, rischio residuo basso, rischio residuo medio, rischio
residuo elevato).
2. Determinato il livello di rischio residuo, le imprese
individuano le azioni correttive o di adeguamento da adottare.
3. L'attribuzione del livello di rischio deve essere accompagnata
dalla descrizione degli elementi di valutazione considerati, delle
analisi effettuate e delle iniziative correttive o di adeguamento
individuate.
Art. 28-sexies.
Trasmissione annuale dei dati
1. Le imprese inviano annualmente all'IVASS, entro il termine del
30 giugno, un insieme strutturato di informazioni e dati di carattere
qualitativo e quantitativo, suddiviso in sei sezioni: Organizzazione,
Premi lordi contabilizzati, Prestazioni liquidate, Gestione e
controllo, Intermediari e Esito autovalutazione.
2. I dati sono organizzati e trasmessi secondo le istruzioni che
verranno pubblicate con lettera al mercato entro il 30 novembre di
ogni anno.
3. Nel caso di gruppi assicurativi l'ultima societa' controllante
e' tenuta a inviare i dati riferiti al gruppo nonche' ad ogni singola
compagnia.
4. Le imprese che commercializzano esclusivamente prodotti
standardizzati definiti a basso rischio dalle disposizioni sui
fattori di rischio trasmettono solo i dati di cui alla sezione Premi
lordi contabilizzati.
Art. 28-septies.
Attivita' in regime di libera prestazione di servizi
1. Le imprese di assicurazione aventi sede legale in un altro Stato
membro dell'Unione europea o in un Paese aderente allo Spazio
economico europeo trasmettono, entro il medesimo termine di cui
all'articolo 28-sexies, informazioni sull'attivita' assicurativa
svolta in Italia in regime di libera prestazione di servizi, nei rami
vita, limitatamente alle sole informazioni della sezione
Intermediari.
2. Tali imprese inviano tramite posta elettronica certificata i
dati e la relativa lettera di trasmissione, sottoscritta da chi ha i
poteri di rappresentanza dell'impresa. Le stesse possono utilizzare
la casella di posta elettronica certificata utilizzata per
l'accreditamento al Sistema di interscambio flussi dati (SID)
dell'Agenzia delle entrate. Qualora ai fini della registrazione tali
imprese si avvalgano di un intermediario, possono delegare nella
lettera di trasmissione tale soggetto ad inviare i dati e la lettera
tramite la propria casella di posta elettronica certificata. La
comunicazione di non aver distribuito polizze in Italia nell'anno
precedente puo' essere effettuata tramite posta elettronica ordinaria
nel caso in cui l'impresa sia sprovvista di posta elettronica
certificata. In tal caso, la comunicazione si considera pervenuta
nella data in cui il messaggio di posta elettronica ordinaria viene
protocollato nel sistema di gestione della corrispondenza dell'IVASS.
3. Le imprese di cui al comma 1 che operano in Italia anche in
regime di stabilimento, possono trasmettere quanto richiesto anche
tramite l'indirizzo di posta elettronica certificata della
rappresentanza.»