Allegato 1 Metodologia per l'effettuazione del processo di autovalutazione dei rischi di riciclaggio e di finanziamento del terrorismo. In linea con la metodologia con cui e' stata condotta l'Analisi Nazionale dei Rischi, le imprese di assicurazione sono tenute a sviluppare l'autovalutazione attraverso due macro-attivita'. 1. Valutazione del rischio intrinseco dell'impresa Consiste nell'individuare in che modo le minacce - identificate in generale per il settore assicurativo nell'Analisi Nazionale dei rischi - interessano anche ciascuna impresa in relazione alla portata dell'attivita' effettivamente esercitata, nonche' in quale misura i presidi aziendali - assetto organizzativo e sistema dei controlli interni - risultano vulnerabili alle minacce identificate. 2. Mitigazione del rischio Si consegue attraverso lo sviluppo e l'attuazione di politiche e procedure per fronteggiare i residui rischi di riciclaggio e di finanziamento del terrorismo - identificati attraverso la propria valutazione del rischio intrinseco - cui l'impresa rimane esposta. 1. Valutazione del rischio intrinseco dell'impresa Ai fini dell'identificazione e valutazione, vanno presi in considerazione almeno i seguenti elementi: - la differenziazione dei rami vita in cui opera l'impresa; - la scala dimensionale, ossia l'ammontare annuale dei premi lordi contabilizzati di nuova produzione e delle prestazioni liquidate nonche' il corrispondente numero di polizze e di clienti; - i mercati di riferimento; - i canali distributivi, distinguendo tra i diversi soggetti terzi su cui l'impresa di assicurazioni fa affidamento per assolvere gli obblighi di adeguata verifica; in tale contesto, rileva anche l'utilizzo di modalita' per l'adeguata verifica a distanza, soprattutto in relazione al beneficiario delle prestazioni; - il numero di clienti - e corrispondente ammontare di premi versati e prestazioni liquidate - classificati nelle piu' elevate fasce di rischio (PEPs, esteri e nazionali, compresi familiari e/o soggetti che mantengono stretti legami; altri clienti con cariche pubbliche locali; societa' fiduciarie; trust; altri clienti a fascia di rischio elevata); - la presenza di succursali o filiazioni situate in paesi terzi ad alto rischio, in particolare se a tali succursali o filiazioni e' stato chiesto dalla capogruppo italiana di applicare misure supplementari per fare fronte in modo efficace al rischio di riciclaggio e di finanziamento del terrorismo; - il Paese estero di origine e di destinazione dei fondi concernenti rispettivamente i premi pagati e le prestazioni liquidate, con particolare riguardo a paesi terzi ad alto rischio; - gli elementi significativi risultanti dalle relazioni e dall'ulteriore documentazione rilevante provenienti dalle funzioni di controllo interno; - le risultanze delle verifiche - ispettive e a distanza - condotte dalle Autorita' di controllo. Ciascuna impresa di assicurazione definisce un proprio indicatore attraverso il quale misurare il livello di rischio intrinseco. In ogni caso, tale indicatore dovra' tenere conto almeno dei dati quantitativi di cui all'articolo 28-sexies del Regolamento IVASS n. 44/2019 concernenti i fattori di rischio relativi a premi e prestazioni liquidate. Il rischio intrinseco cosi' misurato dovra' essere ricondotto in una delle quattro categorie (rischio basso, medio-basso, medio-alto, alto) sulla base dei criteri di attribuzione descritti nella sottostante Tabella A. L'attribuzione del livello di rischio intrinseco viene accompagnata dalla descrizione degli elementi di valutazione (dati e informazioni) considerati, delle analisi poste in essere e delle motivazioni che hanno determinato le scelte effettuate. Ai fini della valutazione, le compagnie tengono conto anche di informazioni ricavate da fonti esterne, tra le quali rilevano: - l'analisi nazionale dei rischi condotta sotto l'egida del Comitato di Sicurezza Finanziaria (NRA); - le liste e i documenti emanati da istituzioni internazionali e dai governi nazionali in merito a soggetti ed entita' sospettati di attivita' terroristica. Tabella A - Analisi del rischio intrinseco ===================================================================== | Giudizio | Criteri di attribuzione | +===========+=======================================================+ | Rischio |I clienti a rischio piu' elevato sono molto limitati (i| | basso |n termini di numerosita' basso ponderata in base al | | |valore dei premi); sono assenti o molto limitati i | | |clienti i cui titolari effettivi sono domiciliati in | | |paesi terzi ad alto rischio, nonche' le prestazioni | | |liquidate a beneficiari o relativi titolari effettivi | | |ivi domiciliati. | | |I movimenti transfrontalieri di fondi concernenti premi| | |incassati e prestazioni liquidate sono modesti. | | |Il patrimonio informativo proveniente dai canali | | |distributivi utilizzati e' pienamente affidabile. | | |Assente o molto limitato utilizzo di metodi di | | |pagamento, anche innovativi, che comportano adempimenti| | |aggiuntivi per individuare il soggetto terzo pagatore. | | |Le polizze all'ordine o al portatore nonche' prodotti | | |che facilitano in altro modo operazioni anonime o non | | |tracciabili sono assenti o molto limitati. | | |Ne segue che l'impresa di assicurazioni non e' esposta | | |a un significativo rischio di essere coinvolta - anche | | |inconsapevolmente - in attivita' di riciclaggio o di | | |finanziamento del terrorismo. | +-----------+-------------------------------------------------------+ | Rischio |I clienti a rischio piu' elevato sono a un livello | |medio-basso|limitato o medio (in termini di numerosita' ponderata | | |in base al valore dei premi); sono presenti ma in basso| | |numero non significativo i clienti i cui titolari | | |effettivi sono domiciliati in paesi terzi ad alto | | |rischio, nonche' le prestazioni liquidate a beneficiari| | |o relativi titolari effettivi ivi domiciliati. | | |I movimenti transfrontalieri di fondi concernenti premi| | |incassati e prestazioni liquidate sono presenti anche | | |se non elevati. | | |Il patrimonio informativo proveniente dai canali | | |distributivi utilizzati e' sufficientemente affidabile.| | |Basso utilizzo di metodi di pagamento, anche | | |innovativi, che comportano adempimenti aggiuntivi per | | |individuare il soggetto terzo pagatore. | | |Le polizze all'ordine o al portatore nonche' prodotti | | |che facilitano in altro modo operazioni anonime o non | | |tracciabili sono limitati o mediamente presenti. | | |Ne segue che l'impresa di assicurazioni e' | | |limitatamente esposta a un significativo rischio di | | |essere coinvolta - anche inconsapevolmente - in | | |attivita' di riciclaggio o di finanziamento del | | |terrorismo. | +-----------+-------------------------------------------------------+ | Rischio |I clienti a rischio piu' elevato sono a un livello | |medio-alto |consistente (in termini di numerosita' ponderata in | | |base al valore dei premi); sono presenti in numero | | |significativo i clienti i cui titolari effettivi sono | | |domiciliati in paesi terzi ad alto rischio, nonche' le | | |prestazioni liquidate a beneficiari o relativi titolari| | |effettivi ivi domiciliati. | | |I movimenti transfrontalieri di fondi concernenti premi| | |incassati e prestazioni liquidate sono presenti a un | | |livello elevato. | | |Il patrimonio informativo proveniente dai canali | | |distributivi utilizzati non e' pienamente affidabile. | | |Moderato utilizzo di metodi di pagamento, anche | | |innovativi, che comportano adempimenti aggiuntivi per | | |individuare il soggetto terzo pagatore. | | |Le polizze all'ordine o al portatore nonche' prodotti | | |che facilitano in altro modo operazioni anonime o non | | |tracciabili sono significativamente presenti. | | |Ne segue che l'impresa di assicurazioni e' abbastanza | | |esposta a un significativo rischio di essere coinvolta | | |- anche inconsapevolmente - in attivita' di riciclaggio| | |o di finanziamento del terrorismo. | +-----------+-------------------------------------------------------+ | Rischio |I clienti a rischio piu' elevato sono a un livello | | alto |molto consistente (in termini di numerosita' ponderata | | |in base al valore dei premi); sono presenti in numero | | |piuttosto significativo i clienti i cui titolari | | |effettivi sono domiciliati in paesi terzi ad alto | | |rischio, nonche' le prestazioni liquidate a beneficiari| | |o relativi titolari effettivi ivi domiciliati. | | |I movimenti transfrontalieri di fondi concernenti premi| | |incassati e prestazioni liquidate sono presenti a un | | |livello assai elevato. | | |Il patrimonio informativo proveniente dai canali | | |distributivi utilizzati non e' adeguatamente | | |affidabile. | | |Elevato utilizzo di metodi di pagamento, anche | | |innovativi, che comportano adempimenti aggiuntivi per | | |individuare il soggetto terzo pagatore. | | |Le polizze all'ordine o al portatore nonche' prodotti | | |che facilitano in altro modo operazioni anonime o non | | |tracciabili sono presenti in misura elevata. | | |Ne segue che l'impresa di assicurazioni e' molto | | |esposta a un significativo rischio di essere coinvolta | | |- anche inconsapevolmente - in attivita' di riciclaggio| | |o di finanziamento del terrorismo. | +-----------+-------------------------------------------------------+ 2. Analisi delle vulnerabilita' Le imprese di assicurazioni adottano e attuano politiche e procedure idonee a mitigare il rischio intrinseco di riciclaggio e di finanziamento del terrorismo identificato nella fase precedente. Pertanto, una volta determinata l'intensita' del rischio intrinseco, ciascuna impresa e' chiamata a definire un proprio indicatore per misurare il livello di vulnerabilita' del sistema dei presidi. In ogni caso, tale indicatore dovra' tenere conto almeno dei dati quantitativi descritti nelle istruzioni pubblicate annualmente ai sensi dell'articolo 28-sexies del Regolamento 44/2019 e concernenti le misure di mitigazione del rischio relative a premi e prestazioni liquidate. La vulnerabilita' cosi' misurata dovra' essere ricondotta in una delle quattro categorie (vulnerabilita': non significativa, poco, abbastanza o molto significativa) sulla base dei criteri di attribuzione descritti nella sottostante Tabella B. L'attribuzione del livello di vulnerabilita' cosi' misurata e' accompagnata da una sintetica illustrazione dei presidi in essere e dalla descrizione dei punti di debolezza eventualmente individuati, con l'esplicitazione delle motivazioni che hanno determinato il punteggio attribuito. Tabella B - Analisi delle vulnerabilita' ===================================================================== | Giudizio | Criteri di attribuzione | +===============+===================================================+ |Vulnerabilita' |I presidi in essere sono pienamente efficaci per | | non |impedire il coinvolgimento dell'impresa di | | significativa |assicurazioni nel riciclaggio di denaro e nel | | |finanziamento del terrorismo. | | |L'impresa ha un ottimo livello di consapevolezza | | |circa il rischio intrinseco di riciclaggio e di | | |finanziamento del terrorismo (sulla base delle | | |evidenze, azioni intraprese, formazione, risorse | | |stanziate). | | |L'impresa e' dotata di un assetto organizzativo | | |altamente idoneo a individuare e contrastare i | | |rischi. | | |Le nuove tecnologie e i metodi di pagamento | | |utilizzati sono pienamente protetti e controllati | +---------------+---------------------------------------------------+ |Vulnerabilita' |I presidi in essere sono ragionevolmente efficaci | | poco |per impedire il coinvolgimento dell'impresa di | | significativa |assicurazioni nel riciclaggio di denaro e nel | | |finanziamento del terrorismo. | | |L'impresa ha un sufficiente livello di | | |consapevolezza circa il rischio intrinseco di | | |riciclaggio e di finanziamento del terrorismo | | |(sulla base delle evidenze, azioni intraprese, | | |formazione, risorse stanziate). | | |L'impresa e' dotata di un assetto organizzativo | | |sufficientemente idoneo a individuare e contrastare| | |i rischi. | | |Le nuove tecnologie e i metodi di pagamento | | |utilizzati sono abbastanza protetti e controllati | +---------------+---------------------------------------------------+ |Vulnerabilita' |I presidi in essere sono limitatamente efficaci per| | abbastanza |impedire il coinvolgimento dell'impresa di | | significativa |assicurazioni nel riciclaggio di denaro e nel | | |finanziamento del terrorismo. | | |L'impresa ha livello di consapevolezza non del | | |tutto adeguato circa il rischio intrinseco di | | |riciclaggio e di finanziamento del terrorismo | | |(sulla base delle evidenze, azioni intraprese, | | |formazione, risorse stanziate). | | |L'impresa e' dotata di un assetto organizzativo con| | |numerose carenze, non sufficientemente idoneo a | | |individuare e contrastare i rischi. | | |Le nuove tecnologie e i metodi di pagamento | | |utilizzati non sono adeguatamente protetti e | | |controllati | +---------------+---------------------------------------------------+ |Vulnerabilita' |I presidi in essere sono inefficaci per impedire il| | molto |coinvolgimento dell'impresa di assicurazioni nel | | significativa |riciclaggio di denaro e nel finanziamento del | | |terrorismo. | | |L'impresa ha livello di consapevolezza inadeguato | | |circa il rischio intrinseco di riciclaggio e di | | |finanziamento del terrorismo (sulla base delle | | |evidenze, azioni intraprese, formazione, risorse | | |stanziate). | | |L'impresa e' dotata di un assetto organizzativo con| | |carenze molto numerose, non idoneo a individuare e | | |contrastare i rischi. | | |Le nuove tecnologie e i metodi di pagamento | | |utilizzati non sono protetti e controllati | +---------------+---------------------------------------------------+ 3. Determinazione del rischio residuo La combinazione dei giudizi sul rischio intrinseco e sulla vulnerabilita' determina, in base alla matrice di seguito illustrata, l'attribuzione della fascia di rischio residuo, secondo la scala di quattro valori indicata. Parte di provvedimento in formato grafico Una volta determinato il livello di rischio complessivo, l'impresa di assicurazioni - anche alla luce di quanto previsto nel pigenerale quadro di riferimento per la propensione al rischio (Risk Appetite Framework - RAF) - individua le iniziative correttive o di adeguamento da adottare per mitigare tali rischi residui. L'attribuzione del livello di rischio residuo per ogni compagnia e per l'intero gruppo assicurativo deve essere accompagnata dalla descrizione degli elementi di valutazione considerati, delle analisi poste in essere e delle richiamate iniziative correttive o di adeguamento individuate.