Art. 13 Modifiche al regolamento IVASS n. 44/2019 1. All'articolo 2, comma 1, a) alla lettera l), dopo le parole «Unione europea» sono aggiunte le parole «o in un Paese aderente allo Spazio economico europeo»; b) alla lettera m), le parole «o in uno Stato terzo» sono eliminate; le parole «agli articoli 116-quater e 116-quinquies» sono sostituite dalle parole «all'articolo 116-quinquies»; c) dopo la lettera vv), e' aggiunta la lettera «ww) "sede centrale": gli uffici dell'impresa con sede legale in uno Stato membro dell'Unione europea o in un Paese aderente allo Spazio economico europeo che svolgono funzioni equivalenti a quelle della direzione generale e amministrativa di cui all'articolo 14, comma 1, lettera b) del codice». 2. All'articolo 3, dopo la lettera d), e' aggiunta la lettera «e) alle imprese di assicurazione aventi sede legale e amministrazione centrale in un altro Stato membro dell'Unione europea o in un Paese aderente allo Spazio economico europeo, che operano in Italia in regime di libera prestazione di servizi, limitatamente alle disposizioni di cui al Capo II, Sezione VI». 3. All'articolo 4, comma 3, lettera b), sub i.), e lettera c), all'articolo 5, comma 2, all'articolo 6, comma 2, all'articolo 7, comma 2, all'articolo 8, comma 2, all'articolo 10, comma 2, all'articolo 17, comma 4 e all'articolo 23, comma 2, le parole «direzione generale» sono sostituite dalle parole «sede centrale». 4. All'articolo 16 e' aggiunto il seguente comma 25 «Le disposizioni di cui ai precedenti commi 1, 2, da 8 a 15, da 17 a 22, si applicano anche quando i compiti di cui all'articolo 14 sono attribuiti - ai sensi dell'articolo 23, comma 2 - alla funzione che svolge compiti omologhi presse la sede centrale.» 5. All'articolo 18, il comma 2 e' sostituito dal seguente: «Gli intermediari assicurativi di cui all'art. 109, comma 2, lettera b), nonche' i soggetti che svolgono attivita' analoga a quella dei menzionati intermediari e operano in Italia in regime di stabilimento - annotati nell'elenco annesso al registro degli intermediari assicurativi e riassicurativi a seguito della notifica in coerenza con quanto previsto dall'articolo 116-quinquies del codice - inviano la segnalazione direttamente alla UIF, qualora non sia individuabile un'impresa di riferimento. Ai fini dell'adempimento dell'obbligo di cui all'articolo 36, comma 3 del decreto antiriciclaggio, gli intermediari di cui all'art. 109, comma 2, lettera d), nonche' i soggetti che svolgono attivita' analoga a quella dei menzionati intermediari e operano in Italia in regime di stabilimento - annotati nell'elenco annesso al registro degli intermediari assicurativi e riassicurativi a seguito della notifica in coerenza con quanto previsto dall'articolo 116-quinquies del codice, nonche' gli intermediari assicurativi stabiliti senza succursale, inviano la segnalazione all'impresa di riferimento anche in relazione alle "stesse operazioni" gia' segnalate direttamente alla UIF e danno comunque notizia all'impresa dell'avvenuta segnalazione di uno "stesso cliente". Si considerano "stesse operazioni" quelle in cui i premi - iniziale, ricorrente, aggiuntivo - sono stati pagati, in tutto o in parte, con liquidita' o titoli oggetto dell'autonoma segnalazione dell'intermediario assicurativo alla UIF. Gli intermediari assicurativi definiscono, secondo un approccio fondato sul rischio, il periodo antecedente il pagamento del premio da prendere in considerazione a tal fine, che comunque non puo' essere inferiore a trenta giorni o a quello piu' lungo definito dall'impresa negli accordi di distribuzione.» 6. Nel Capo II, dopo l'articolo 28, e' inserita la seguente: «Sezione VI Valutazione dei rischi di riciclaggio e di finanziamento del terrorismo Art. 28-bis. Disposizioni generali 1. Le imprese svolgono periodicamente l'autovalutazione dei rischi di riciclaggio e di finanziamento del terrorismo, attraverso una metodologia strutturata in due macro-attivita': a) valutazione del rischio intrinseco e delle vulnerabilita', che consiste nell'individuare in che modo le minacce, in relazione all'attivita' esercitata, interessano l'impresa e in quale misura i presidi aziendali risultano vulnerabili ad esse; b) determinazione del livello di rischio residuo e delle relative iniziative di mitigazione, attraverso lo sviluppo e l'attuazione di politiche e procedure per fronteggiare il rischio cui l'impresa rimane esposta. 2. La funzione antiriciclaggio riporta gli esiti dell'esercizio di autovalutazione nella relazione annuale di cui all'articolo 14, descrivendo le fasi del processo, le funzioni coinvolte, i dati e le informazioni alla base delle valutazioni effettuate, i risultati ottenuti e le iniziative di adeguamento eventualmente necessarie. 3. Per i gruppi assicurativi, l'ultima societa' controllante italiana coordina l'attivita' svolta da ciascuna delle compagnie appartenenti al gruppo e da' conto nella propria relazione degli esiti delle singole entita', valutando la rilevanza dei rischi residui per l'intero gruppo. 4. Gli intermediari assicurativi di cui all'articolo 109, comma 2, lettera d) del codice, nonche' i soggetti che svolgono attivita' analoga a quelle dei menzionati intermediari e operano in Italia in regime di stabilimento - annotati nell'elenco annesso al registro degli intermediari assicurativi e riassicurativi a seguito della notifica in coerenza con quanto previsto dall'articolo 116-quinquies del codice - includono il rischio di riciclaggio connesso alla distribuzione nel territorio della Repubblica di prodotti assicurativi rientranti nei rami di attivita' elencati all'articolo 2, comma 1, del codice, nell'ambito dell'esercizio annuale di autovalutazione condotto in conformita' con le «disposizioni in materia di organizzazione, procedure e controlli interni volti a prevenire l'utilizzo degli intermediari a fini di riciclaggio e di finanziamento del terrorismo» emanate dalla Banca d'Italia ai sensi dell'articolo 7, comma 1, del decreto legislativo n. 231/2007. L'attivita' di intermediazione assicurativa viene sempre considerata come separata linea di business da sottoporre a specifica valutazione del rischio. Art. 28-ter. Criteri per la valutazione del rischio intrinseco 1. Ai fini dell'identificazione e valutazione del rischio intrinseco le imprese valutano almeno i seguenti elementi: a) la composizione dei rami vita in cui l'impresa opera; b) l'ammontare annuale dei premi lordi contabilizzati e delle prestazioni liquidate nonche' il corrispondente numero di polizze e di clienti; c) i mercati geografici di riferimento (almeno a livello di singolo paese); d) i canali distributivi utilizzati; e) il numero, e il corrispondente ammontare di premi versati e prestazioni liquidate, di: i) clienti classificati nelle piu' elevate fasce di rischio, anche per la presenza - in qualita' di contraente o di beneficiario o di rispettivo titolare effettivo - di PEP, compresi i familiari e/o i soggetti che mantengono stretti legami, nonche' di titolari di cariche pubbliche locali; ii) titolari effettivi di polizze stipulate tramite societa' fiduciarie e trustee nell'ambito di accordi di trust; f) la presenza di succursali situate in paesi terzi ad alto rischio, in particolare se ad esse e' stato chiesto dall'ultima societa' controllante italiana di applicare misure supplementari per far fronte al rischio di riciclaggio e di finanziamento del terrorismo; g) il paese estero di origine e di destinazione dei fondi relativi ai premi pagati e prestazioni liquidate, con particolare riguardo ai paesi terzi ad alto rischio»; h) gli elementi significativi risultanti dalle relazioni e dall'ulteriore documentazione proveniente dalle funzioni di controllo interno; i) le risultanze delle verifiche, ispettive e a distanza, condotte dalle Autorita'. 2. Le imprese definiscono un proprio indicatore attraverso il quale misurare il livello di rischio intrinseco, da ricondurre in una delle quattro categorie (rischio basso, rischio medio-basso, rischio medio-alto, rischio alto) sulla base dei criteri di attribuzione orientativamente descritti nell'allegato 1 - Tabella A. 3. Ai fini della valutazione, le imprese tengono conto anche di informazioni ricavate da fonti esterne, tra le quali rilevano: l'analisi nazionale dei rischi condotta sotto l'egida del Comitato di sicurezza Finanziaria; le liste e i documenti emanati da istituzioni internazionali e dai governi nazionali in merito a soggetti ed entita' sospettati di attivita' terroristica. 4. L'attribuzione del livello di rischio viene accompagnata dalla descrizione degli elementi di valutazione considerati, delle analisi effettuate e delle motivazioni che hanno determinato le scelte. Art. 28-quater. Analisi delle vulnerabilita' 1. Le imprese adottano e attuano politiche e procedure idonee a mitigare il rischio intrinseco di riciclaggio e di finanziamento del terrorismo identificato ai sensi dell'articolo 28-ter. 2. Le imprese definiscono un proprio indicatore per misurare la vulnerabilita' del sistema dei presidi, tenendo anche conto dei dati quantitativi concernenti le misure di mitigazione del rischio relative a premi e prestazioni liquidate, riportati nel foglio elettronico di cui all'articolo 28-sexies. 3. La vulnerabilita' cosi' misurata andra' ricondotta in una delle quattro categorie (vulnerabilita' non significativa, vulnerabilita' poco significativa, vulnerabilita' abbastanza significativa, vulnerabilita' molto significativa) sulla base dei criteri di attribuzione orientativamente descritti nell'allegato 1 - Tabella B. Art. 28-quinquies. Determinazione del rischio residuo 1. La combinazione dei giudizi sul rischio intrinseco e sulla vulnerabilita' determina, in base alla matrice illustrata nell'allegato 1 - Tabella C, l'attribuzione della fascia di rischio residuo, secondo una scala di quattro valori (rischio residuo non significativo, rischio residuo basso, rischio residuo medio, rischio residuo elevato). 2. Determinato il livello di rischio residuo, le imprese individuano le azioni correttive o di adeguamento da adottare. 3. L'attribuzione del livello di rischio deve essere accompagnata dalla descrizione degli elementi di valutazione considerati, delle analisi effettuate e delle iniziative correttive o di adeguamento individuate. Art. 28-sexies. Trasmissione annuale dei dati 1. Le imprese inviano annualmente all'IVASS, entro il termine del 30 giugno, un insieme strutturato di informazioni e dati di carattere qualitativo e quantitativo, suddiviso in sei sezioni: Organizzazione, Premi lordi contabilizzati, Prestazioni liquidate, Gestione e controllo, Intermediari e Esito autovalutazione. 2. I dati sono organizzati e trasmessi secondo le istruzioni che verranno pubblicate con lettera al mercato entro il 30 novembre di ogni anno. 3. Nel caso di gruppi assicurativi l'ultima societa' controllante e' tenuta a inviare i dati riferiti al gruppo nonche' ad ogni singola compagnia. 4. Le imprese che commercializzano esclusivamente prodotti standardizzati definiti a basso rischio dalle disposizioni sui fattori di rischio trasmettono solo i dati di cui alla sezione Premi lordi contabilizzati. Art. 28-septies. Attivita' in regime di libera prestazione di servizi 1. Le imprese di assicurazione aventi sede legale in un altro Stato membro dell'Unione europea o in un Paese aderente allo Spazio economico europeo trasmettono, entro il medesimo termine di cui all'articolo 28-sexies, informazioni sull'attivita' assicurativa svolta in Italia in regime di libera prestazione di servizi, nei rami vita, limitatamente alle sole informazioni della sezione Intermediari. 2. Tali imprese inviano tramite posta elettronica certificata i dati e la relativa lettera di trasmissione, sottoscritta da chi ha i poteri di rappresentanza dell'impresa. Le stesse possono utilizzare la casella di posta elettronica certificata utilizzata per l'accreditamento al Sistema di interscambio flussi dati (SID) dell'Agenzia delle entrate. Qualora ai fini della registrazione tali imprese si avvalgano di un intermediario, possono delegare nella lettera di trasmissione tale soggetto ad inviare i dati e la lettera tramite la propria casella di posta elettronica certificata. La comunicazione di non aver distribuito polizze in Italia nell'anno precedente puo' essere effettuata tramite posta elettronica ordinaria nel caso in cui l'impresa sia sprovvista di posta elettronica certificata. In tal caso, la comunicazione si considera pervenuta nella data in cui il messaggio di posta elettronica ordinaria viene protocollato nel sistema di gestione della corrispondenza dell'IVASS. 3. Le imprese di cui al comma 1 che operano in Italia anche in regime di stabilimento, possono trasmettere quanto richiesto anche tramite l'indirizzo di posta elettronica certificata della rappresentanza.»