L’approccio risk-based in materia antiriciclaggio. Metriche di valutazione

Il recepimento della IV Direttiva antiriciclaggio n. 849/2015 impone una attenta autovalutazione dei rischi da parte dei soggetti designati, chiamati a definire il livello di esposizione complessiva, adottando correlate misure organizzative per la mitigazione degli stessi.

Ma cosa vuole dire in concreto adottare un approccio risk based, e come è possibile quantificare in maniera documentata, chiara e replicabile (anche nei confronti delle Autorità di controllo) l’esposizione al rischio?

Giustamente alcuni commentatori hanno richiamato l'opportunità di adottare metriche di risk assessment mutuate da quelle in uso nel comparto finanziario. Nella mia esperienza di formatore e consulente ho cercato di approcciare il tema basandomi su alcuni concetti di base che riassumo di seguito.

1.   In sede di adeguata verifica il compiuto approfondimento di tutti i profili soggettivi e oggettivi afferenti la prestazione, l’operazione o il rapporto di affari, richiede un processo iterativo a due stadi. Graficamente il concetto può essere sintetizzato come segue.

Le informazioni da acquisire (e il relativo livello di approfondimento) dipendono dal profilo di rischio assegnato, ma questo - a sua volta - dipende dai primi dati forniti dal cliente o comunque rinvenibili nelle basi dati utilizzate dal soggetto designato.

Il processo di valutazione risulta pertanto articolato in due fasi: una prima, che conduce alla “profilatura provvisoria”, utile – nel caso di professionisti - anche ai fini della elaborazione del preventivo nel quale saranno indicati i dati e i documenti necessari per completare il processo di adeguata verifica.

Nella seconda fase, sono condotti gli ulteriori approfondimenti in esito ai quali viene "validato" il profilo di rischio assegnato avendo acquisito tutti i dati necessari per il risk assessment a livello di singolo cliente.

2.   Già nella prima fase di valutazione del rischio (preliminare all’instaurazione del rapporto o all’esecuzione della prestazione), occorre verificare se ricorrano situazioni che impongono l’adozione di misure rafforzate di adeguata verifica, tenuto conto delle caratteristiche del cliente ovvero del Paese di residenza/operatività. A questo fine, rilevano i seguenti aspetti.

Nel caso del rischio Paese, ritengo valido il seguente percorso logico.

3.   L’esposizione complessiva al rischio AML/CFT “deriva” dalle singole componenti che compongono il "portafoglio clienti".

Parafrasando il linguaggio finanziario, ogni soggetto obbligato si trova oggi a gestire un portafoglio clienti acquisito, ognuno dei quali presenta un profilo di rischio AML, dal quale è possibile inferire l’esposizione complessiva. Diversamente dal comparto finanziario, la diversificazione della clientela non riduce l’esposizione al rischio. Il rischio di riciclaggio è per sua natura «additivo» ovvero ogni nuovo cliente determina un incremento «marginale» dell’esposizione al rischio.

L’unico elemento di mitigazione del rischio consiste nella capacità di identificare correttamente tutti i fattori di rischio e di applicare misure organizzative coerenti per decidere se accettare l’incarico (o l’accensione del rapporto), astenersi ovvero interrompere il rapporto d’affari nonché inoltrare una SOS.

4.   La valutazione del rischio complessivo del singolo soggetto designato va inquadrata nel contesto del Supra National Risk Assessment condotto a livello UE e del National Risk Assessment rilevante per il Paese di appartenenza. In tale contesto, i prodotti/servizi e gli schemi operativi alle quali è associato un livello elevato di vulnerabilità non potranno essere ignorati, imponendo l’adozione di misure rafforzate in mancanza delle quali potrebbe diventare molto complicato per il soggetto designato giustificarsi nei confronti dell’Autorità, esponendosi al rischio di pesanti sanzioni.

Il legame tra le tre dimensioni del risk assessment possono essere sintetizzate come segue

Nell’esempio, si consideri il caso di una banca attiva nel private banking che, a fronte di un rischio considerato medio-alto a livello di SRNA, alto a livello NRA e medio-basso a livello di self-assessment, dovrà comunque adottare misure rafforzate per l'operatività in esame verso soggetti non residenti (in conformità a quanto emerge dal SNRA e dal NRA). Al tempo stesso, la banca potrà dimostrare - sulla base dell'autovalutazione - di essere non solo consapevole dei rischi cui è potenzialmente esposta ma di essere anche "attrezzata" per ridurre il rischio, ritenendo l'esposizione “residua” (al netto dei controlli) comunque sostenibile.

5.   La metrica di valutazione del rischio

La quantificazione del rischio richiede la pre-determinazione di una metodologia che consenta di tradurre un percorso valutativo che conduce a giudizi qualitativi (rischio alto, medio-alto, medio-basso, basso) in una sintesi numerica. A tale riguardo, occorre preliminarmente identificare i fattori rilevanti, in gran parte già riportati nella disciplina AML.

Ai fini della misurazione dell’esposizione al rischio, occorre infatti considerare l’articolazione dei 4 livelli di rischiosità valutando almeno 10 fattori, di cui 4 afferenti la clientela e 6 il rapporto di affari/prestazione.

Per ciascuno dei parametri valutati, è possibile considerare un range di variazione del punteggio in funzione del livello di rischio associato al cliente e al rapporto di affari, discriminando i livelli di rischiosità in funzione dei punteggi assegnati.

Sulla base della richiamata impostazione è infatti possibile individuare i valori discriminanti che definiscono il limite massimo per ogni livello di rischio. Ad esempio, nel caso di un ipotetico intermediario che gestisce 1.353 rapporti, è possibile, sulla base della metrica sopra richiamata, avere non soltanto la misura dell’esposizione complessiva ma anche quella delle singole componenti che vi concorrono.

Nell’esempio, il rischio cliente (medio-basso nella simulazione condotta) incide meno del rischio prodotto (medio-alto), determinando un livello di rischio complessivo medio-alto.

È inoltre possibile “disaggregare” il livello di rischio misurando quale sia il contributo al rischio del singolo fattore sottostante, concentrando prioritariamente l’attenzione su quelli che presentano la maggiore incidenza per mitigarne i potenziali effetti con opportuni “rimedi” organizzativi.

6.   Il calcolo di misure di rischio-rendimento

La quantificazione del rischio apporta notevoli benefici nella gestione della clientela, quali la possibilità di valutare la redditività generata dal singolo cliente (o fascia di clientela) corretta per il livello di rischio AML/CFT associato (ottenendo così misure di rendimento risk-adjusted).

L’approccio risk-based consente pertanto di valutare se e in che misura è conveniente “trattenere” o “acquisire” la clientela alla quale è associato un rischio riciclaggio più elevato, tenuto conto degli oneri amministrativi, del rischio compliance e della complessità dei sistemi informativi a supporto della loro gestione.

L’assegnazione di un profilo di rischio consente inoltre di «prezzare» il servizio richiesto al soggetto designato che potrà utilmente tenere conto – ai fini della determinazione del compenso – anche degli approfondimenti che dovranno essere svolti in funzione delle caratteristiche del cliente e della prestazione richiesta.

Le considerazioni sopra riportate sono solo alcuni sintetici spunti per la conduzione di un self risk assessment, senza pretesa di esaustività. Il confronto con i diversi operatori interessati alla materia non potrà che favorire l’individuazione di strumenti efficienti per condurre tale processo.

Personalmente, la collaborazione con una società di software - che ha incorporato le richiamate metriche di misurazione del rischio in un applicativo AML destinato ai professionisti - è stato un forte stimolo al loro sviluppo e affinamento.

L’analisi funzionale richiesta per lo sviluppo di un qualsiasi software impone infatti un rigore logico talora smarrito nelle pieghe del dedalo normativo nel quale si trovano spesso a lavorare i soggetti designati.