Allegato 1
Metodologia per l'effettuazione del processo di autovalutazione dei
rischi di riciclaggio e di finanziamento del terrorismo.
In linea con la metodologia con cui e' stata condotta l'Analisi
Nazionale dei Rischi, le imprese di assicurazione sono tenute a
sviluppare l'autovalutazione attraverso due macro-attivita'.
1. Valutazione del rischio intrinseco dell'impresa
Consiste nell'individuare in che modo le minacce - identificate in
generale per il settore assicurativo nell'Analisi Nazionale dei
rischi - interessano anche ciascuna impresa in relazione alla portata
dell'attivita' effettivamente esercitata, nonche' in quale misura i
presidi aziendali - assetto organizzativo e sistema dei controlli
interni - risultano vulnerabili alle minacce identificate.
2. Mitigazione del rischio
Si consegue attraverso lo sviluppo e l'attuazione di politiche e
procedure per fronteggiare i residui rischi di riciclaggio e di
finanziamento del terrorismo - identificati attraverso la propria
valutazione del rischio intrinseco - cui l'impresa rimane esposta.
1. Valutazione del rischio intrinseco dell'impresa
Ai fini dell'identificazione e valutazione, vanno presi in
considerazione almeno i seguenti elementi:
- la differenziazione dei rami vita in cui opera l'impresa;
- la scala dimensionale, ossia l'ammontare annuale dei premi lordi
contabilizzati di nuova produzione e delle prestazioni liquidate
nonche' il corrispondente numero di polizze e di clienti;
- i mercati di riferimento;
- i canali distributivi, distinguendo tra i diversi soggetti terzi
su cui l'impresa di assicurazioni fa affidamento per assolvere gli
obblighi di adeguata verifica; in tale contesto, rileva anche
l'utilizzo di modalita' per l'adeguata verifica a distanza,
soprattutto in relazione al beneficiario delle prestazioni;
- il numero di clienti - e corrispondente ammontare di premi
versati e prestazioni liquidate - classificati nelle piu' elevate
fasce di rischio (PEPs, esteri e nazionali, compresi familiari e/o
soggetti che mantengono stretti legami; altri clienti con cariche
pubbliche locali; societa' fiduciarie; trust; altri clienti a fascia
di rischio elevata);
- la presenza di succursali o filiazioni situate in paesi terzi ad
alto rischio, in particolare se a tali succursali o filiazioni e'
stato chiesto dalla capogruppo italiana di applicare misure
supplementari per fare fronte in modo efficace al rischio di
riciclaggio e di finanziamento del terrorismo;
- il Paese estero di origine e di destinazione dei fondi
concernenti rispettivamente i premi pagati e le prestazioni
liquidate, con particolare riguardo a paesi terzi ad alto rischio;
- gli elementi significativi risultanti dalle relazioni e
dall'ulteriore documentazione rilevante provenienti dalle funzioni di
controllo interno;
- le risultanze delle verifiche - ispettive e a distanza - condotte
dalle Autorita' di controllo.
Ciascuna impresa di assicurazione definisce un proprio indicatore
attraverso il quale misurare il livello di rischio intrinseco. In
ogni caso, tale indicatore dovra' tenere conto almeno dei dati
quantitativi di cui all'articolo 28-sexies del Regolamento IVASS n.
44/2019 concernenti i fattori di rischio relativi a premi e
prestazioni liquidate. Il rischio intrinseco cosi' misurato dovra'
essere ricondotto in una delle quattro categorie (rischio basso,
medio-basso, medio-alto, alto) sulla base dei criteri di attribuzione
descritti nella sottostante Tabella A.
L'attribuzione del livello di rischio intrinseco viene accompagnata
dalla descrizione degli elementi di valutazione (dati e informazioni)
considerati, delle analisi poste in essere e delle motivazioni che
hanno determinato le scelte effettuate.
Ai fini della valutazione, le compagnie tengono conto anche di
informazioni ricavate da fonti esterne, tra le quali rilevano:
- l'analisi nazionale dei rischi condotta sotto l'egida del
Comitato di Sicurezza Finanziaria (NRA);
- le liste e i documenti emanati da istituzioni internazionali e
dai governi nazionali in merito a soggetti ed entita' sospettati di
attivita' terroristica.
Tabella A - Analisi del rischio intrinseco
=====================================================================
| Giudizio | Criteri di attribuzione |
+===========+=======================================================+
| Rischio |I clienti a rischio piu' elevato sono molto limitati (i|
| basso |n termini di numerosita' basso ponderata in base al |
| |valore dei premi); sono assenti o molto limitati i |
| |clienti i cui titolari effettivi sono domiciliati in |
| |paesi terzi ad alto rischio, nonche' le prestazioni |
| |liquidate a beneficiari o relativi titolari effettivi |
| |ivi domiciliati. |
| |I movimenti transfrontalieri di fondi concernenti premi|
| |incassati e prestazioni liquidate sono modesti. |
| |Il patrimonio informativo proveniente dai canali |
| |distributivi utilizzati e' pienamente affidabile. |
| |Assente o molto limitato utilizzo di metodi di |
| |pagamento, anche innovativi, che comportano adempimenti|
| |aggiuntivi per individuare il soggetto terzo pagatore. |
| |Le polizze all'ordine o al portatore nonche' prodotti |
| |che facilitano in altro modo operazioni anonime o non |
| |tracciabili sono assenti o molto limitati. |
| |Ne segue che l'impresa di assicurazioni non e' esposta |
| |a un significativo rischio di essere coinvolta - anche |
| |inconsapevolmente - in attivita' di riciclaggio o di |
| |finanziamento del terrorismo. |
+-----------+-------------------------------------------------------+
| Rischio |I clienti a rischio piu' elevato sono a un livello |
|medio-basso|limitato o medio (in termini di numerosita' ponderata |
| |in base al valore dei premi); sono presenti ma in basso|
| |numero non significativo i clienti i cui titolari |
| |effettivi sono domiciliati in paesi terzi ad alto |
| |rischio, nonche' le prestazioni liquidate a beneficiari|
| |o relativi titolari effettivi ivi domiciliati. |
| |I movimenti transfrontalieri di fondi concernenti premi|
| |incassati e prestazioni liquidate sono presenti anche |
| |se non elevati. |
| |Il patrimonio informativo proveniente dai canali |
| |distributivi utilizzati e' sufficientemente affidabile.|
| |Basso utilizzo di metodi di pagamento, anche |
| |innovativi, che comportano adempimenti aggiuntivi per |
| |individuare il soggetto terzo pagatore. |
| |Le polizze all'ordine o al portatore nonche' prodotti |
| |che facilitano in altro modo operazioni anonime o non |
| |tracciabili sono limitati o mediamente presenti. |
| |Ne segue che l'impresa di assicurazioni e' |
| |limitatamente esposta a un significativo rischio di |
| |essere coinvolta - anche inconsapevolmente - in |
| |attivita' di riciclaggio o di finanziamento del |
| |terrorismo. |
+-----------+-------------------------------------------------------+
| Rischio |I clienti a rischio piu' elevato sono a un livello |
|medio-alto |consistente (in termini di numerosita' ponderata in |
| |base al valore dei premi); sono presenti in numero |
| |significativo i clienti i cui titolari effettivi sono |
| |domiciliati in paesi terzi ad alto rischio, nonche' le |
| |prestazioni liquidate a beneficiari o relativi titolari|
| |effettivi ivi domiciliati. |
| |I movimenti transfrontalieri di fondi concernenti premi|
| |incassati e prestazioni liquidate sono presenti a un |
| |livello elevato. |
| |Il patrimonio informativo proveniente dai canali |
| |distributivi utilizzati non e' pienamente affidabile. |
| |Moderato utilizzo di metodi di pagamento, anche |
| |innovativi, che comportano adempimenti aggiuntivi per |
| |individuare il soggetto terzo pagatore. |
| |Le polizze all'ordine o al portatore nonche' prodotti |
| |che facilitano in altro modo operazioni anonime o non |
| |tracciabili sono significativamente presenti. |
| |Ne segue che l'impresa di assicurazioni e' abbastanza |
| |esposta a un significativo rischio di essere coinvolta |
| |- anche inconsapevolmente - in attivita' di riciclaggio|
| |o di finanziamento del terrorismo. |
+-----------+-------------------------------------------------------+
| Rischio |I clienti a rischio piu' elevato sono a un livello |
| alto |molto consistente (in termini di numerosita' ponderata |
| |in base al valore dei premi); sono presenti in numero |
| |piuttosto significativo i clienti i cui titolari |
| |effettivi sono domiciliati in paesi terzi ad alto |
| |rischio, nonche' le prestazioni liquidate a beneficiari|
| |o relativi titolari effettivi ivi domiciliati. |
| |I movimenti transfrontalieri di fondi concernenti premi|
| |incassati e prestazioni liquidate sono presenti a un |
| |livello assai elevato. |
| |Il patrimonio informativo proveniente dai canali |
| |distributivi utilizzati non e' adeguatamente |
| |affidabile. |
| |Elevato utilizzo di metodi di pagamento, anche |
| |innovativi, che comportano adempimenti aggiuntivi per |
| |individuare il soggetto terzo pagatore. |
| |Le polizze all'ordine o al portatore nonche' prodotti |
| |che facilitano in altro modo operazioni anonime o non |
| |tracciabili sono presenti in misura elevata. |
| |Ne segue che l'impresa di assicurazioni e' molto |
| |esposta a un significativo rischio di essere coinvolta |
| |- anche inconsapevolmente - in attivita' di riciclaggio|
| |o di finanziamento del terrorismo. |
+-----------+-------------------------------------------------------+
2. Analisi delle vulnerabilita'
Le imprese di assicurazioni adottano e attuano politiche e
procedure idonee a mitigare il rischio intrinseco di riciclaggio e di
finanziamento del terrorismo identificato nella fase precedente.
Pertanto, una volta determinata l'intensita' del rischio
intrinseco, ciascuna impresa e' chiamata a definire un proprio
indicatore per misurare il livello di vulnerabilita' del sistema dei
presidi. In ogni caso, tale indicatore dovra' tenere conto almeno dei
dati quantitativi descritti nelle istruzioni pubblicate annualmente
ai sensi dell'articolo 28-sexies del Regolamento 44/2019 e
concernenti le misure di mitigazione del rischio relative a premi e
prestazioni liquidate. La vulnerabilita' cosi' misurata dovra' essere
ricondotta in una delle quattro categorie (vulnerabilita': non
significativa, poco, abbastanza o molto significativa) sulla base dei
criteri di attribuzione descritti nella sottostante Tabella B.
L'attribuzione del livello di vulnerabilita' cosi' misurata e'
accompagnata da una sintetica illustrazione dei presidi in essere e
dalla descrizione dei punti di debolezza eventualmente individuati,
con l'esplicitazione delle motivazioni che hanno determinato il
punteggio attribuito.
Tabella B - Analisi delle vulnerabilita'
=====================================================================
| Giudizio | Criteri di attribuzione |
+===============+===================================================+
|Vulnerabilita' |I presidi in essere sono pienamente efficaci per |
| non |impedire il coinvolgimento dell'impresa di |
| significativa |assicurazioni nel riciclaggio di denaro e nel |
| |finanziamento del terrorismo. |
| |L'impresa ha un ottimo livello di consapevolezza |
| |circa il rischio intrinseco di riciclaggio e di |
| |finanziamento del terrorismo (sulla base delle |
| |evidenze, azioni intraprese, formazione, risorse |
| |stanziate). |
| |L'impresa e' dotata di un assetto organizzativo |
| |altamente idoneo a individuare e contrastare i |
| |rischi. |
| |Le nuove tecnologie e i metodi di pagamento |
| |utilizzati sono pienamente protetti e controllati |
+---------------+---------------------------------------------------+
|Vulnerabilita' |I presidi in essere sono ragionevolmente efficaci |
| poco |per impedire il coinvolgimento dell'impresa di |
| significativa |assicurazioni nel riciclaggio di denaro e nel |
| |finanziamento del terrorismo. |
| |L'impresa ha un sufficiente livello di |
| |consapevolezza circa il rischio intrinseco di |
| |riciclaggio e di finanziamento del terrorismo |
| |(sulla base delle evidenze, azioni intraprese, |
| |formazione, risorse stanziate). |
| |L'impresa e' dotata di un assetto organizzativo |
| |sufficientemente idoneo a individuare e contrastare|
| |i rischi. |
| |Le nuove tecnologie e i metodi di pagamento |
| |utilizzati sono abbastanza protetti e controllati |
+---------------+---------------------------------------------------+
|Vulnerabilita' |I presidi in essere sono limitatamente efficaci per|
| abbastanza |impedire il coinvolgimento dell'impresa di |
| significativa |assicurazioni nel riciclaggio di denaro e nel |
| |finanziamento del terrorismo. |
| |L'impresa ha livello di consapevolezza non del |
| |tutto adeguato circa il rischio intrinseco di |
| |riciclaggio e di finanziamento del terrorismo |
| |(sulla base delle evidenze, azioni intraprese, |
| |formazione, risorse stanziate). |
| |L'impresa e' dotata di un assetto organizzativo con|
| |numerose carenze, non sufficientemente idoneo a |
| |individuare e contrastare i rischi. |
| |Le nuove tecnologie e i metodi di pagamento |
| |utilizzati non sono adeguatamente protetti e |
| |controllati |
+---------------+---------------------------------------------------+
|Vulnerabilita' |I presidi in essere sono inefficaci per impedire il|
| molto |coinvolgimento dell'impresa di assicurazioni nel |
| significativa |riciclaggio di denaro e nel finanziamento del |
| |terrorismo. |
| |L'impresa ha livello di consapevolezza inadeguato |
| |circa il rischio intrinseco di riciclaggio e di |
| |finanziamento del terrorismo (sulla base delle |
| |evidenze, azioni intraprese, formazione, risorse |
| |stanziate). |
| |L'impresa e' dotata di un assetto organizzativo con|
| |carenze molto numerose, non idoneo a individuare e |
| |contrastare i rischi. |
| |Le nuove tecnologie e i metodi di pagamento |
| |utilizzati non sono protetti e controllati |
+---------------+---------------------------------------------------+
3. Determinazione del rischio residuo
La combinazione dei giudizi sul rischio intrinseco e sulla
vulnerabilita' determina, in base alla matrice di seguito illustrata,
l'attribuzione della fascia di rischio residuo, secondo la scala di
quattro valori indicata.
Parte di provvedimento in formato grafico
Una volta determinato il livello di rischio complessivo, l'impresa
di assicurazioni - anche alla luce di quanto previsto nel pigenerale
quadro di riferimento per la propensione al rischio (Risk Appetite
Framework - RAF) - individua le iniziative correttive o di
adeguamento da adottare per mitigare tali rischi residui.
L'attribuzione del livello di rischio residuo per ogni compagnia e
per l'intero gruppo assicurativo deve essere accompagnata dalla
descrizione degli elementi di valutazione considerati, delle analisi
poste in essere e delle richiamate iniziative correttive o di
adeguamento individuate.