Dal 1° gennaio 2020 sono entrate in scena le tanto attese regole tecniche diramate dal Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili, in qualità di organismo di autoregolamentazione. Tali regole, approvate nella seduta del 16 gennaio 2019, previa acquisizione del parere del Comitato di sicurezza finanziaria, e pubblicate sul sito istituzionale del Consiglio in data 23 gennaio 2019, sono vincolanti per tutti gli iscritti all’Albo dei dottori commercialisti e degli esperti contabili di cui al D.Lgs. 28 giugno 2005, n. 139, in quanto create appunto dal CNDCEC in qualità di organismo di autoregolamentazione con il compito di promuovere e controllare l’osservanza degli obblighi previsti dalla normativa antiriciclaggio da parte dei professionisti iscritti nei propri albi ed elenchi. Tali disposizioni, trasmesse agli ordini periferici pochi giorni dopo la loro approvazione, quasi un anno fa, affrontano i seguenti obblighi antiriciclaggio: - valutazione del rischio (articoli 15-16, D.Lgs. n. 231/2007); - adeguata verifica della clientela (articoli 17-30, D.Lgs. n. 231/2007); - conservazione dei documenti, dei dati e delle informazioni (articoli 31, 32 e 34, D.Lgs. n. 231/2007). Autovalutazione del rischio Prevista dagli articoli 15 e 16 del D.Lgs. n. 231/2007, l’autovalutazione del rischio è un adempimento del professionista che si “auto-analizza” cercando di individuare le proprie debolezze, in funzione della clientela e dell’organizzazione nei presidi antiriciclaggio (si ricorda che tale attività dovrà essere svolta a cura del professionista e non è delegabile). Il processo di autovalutazione del rischio è rappresentato nei seguenti passaggi: 1) analisi della clientela al fine di individuare il rischio inerente; 2) analisi della struttura organizzativa e delle procedure (analisi delle vulnerabilità organizzative); 3) determinazione del rischio residuo; 4) programmazione temporale delle attività da svolgere al fine di eventualmente migliorare “un rischio residuo” che si ritiene inaccettabile. Il professionista dovrà muoversi secondo uno schema individuato dal CNDCEC, che ha fissato nuove metriche per la valutazione del rischio, identiche a quelle utilizzato per la valutazione del rischio del cliente al fine di stabilire le misure di adeguata verifica da intraprendere: più precisamente, con una scala da 1 a 4 dove il punteggio minimo è riferito a una rilevanza “non significativa” e il punteggio massimo a una rilevanza “molto significativa” (altri due intervalli: “poco” e “abbastanza” significativa). Tali punteggi verranno utilizzati per procedere alla valutazione del rischio inerente (analisi della clientela, dell’area geografica di operatività, dei canali distributivi e dei servizi offerti) e del grado di vulnerabilità (formazione, l’organizzazione degli adempimenti di adeguata verifica della clientela, l’organizzazione degli adempimenti relativi alla conservazione dei documenti, dati e informazioni e in ultimo l’organizzazione in materia di segnalazione di operazioni sospette e comunicazione delle violazioni alle norme sull’uso del contante). Nella regola tecnica n. 1, il CNDCEC fornisce l’iter per procedere all’autovalutazione, e in particolare, evidenzia che per ognuno degli elementi sopra individuati - sia per il rischio inerente, elementi da 1) a 4), sia per il grado di vulnerabilità, elementi da 1) a 4) - il professionista dovrà assegnare un valore (da 1 a 4), effettuare una media, e mediante dei coefficienti di ponderazione (che sono stati stabiliti nella Regola Tecnica n. 1) si perviene al risultato finale di individuare per la propria organizzazione il “rischio residuo”, che potrà avere i seguenti valori e significati: A questo punto, il professionista, secondo quanto indicato nella regola tecnica n. 1 del CNDCEC, ha effettuato l’autoanalisi del rischio di riciclaggio e/o finanziamento del terrorismo, che è connesso alla propria attività professionale, allo scopo di adottare adeguati presidi e procedure commisurate alla propria natura e dimensioni, per mitigare i rischi rilevati. Autovalutazione del rischio negli studi associati Un aspetto importante da evidenziare è quanto indicato nelle Linee Guida emanate dal CNDCEC il 22 maggio 2019 in riferimento allo svolgimento dell’autovalutazione del rischio negli studi associati. Secondo il Consiglio Nazionale negli studi associati l’autovalutazione può essere effettuata con riferimento allo studio, ferma restando per ciascun professionista associato la possibilità di predisporla individualmente. A parere di chi scrive potrebbe essere non sempre opportuno procedere a una valutazione “di studio”, in quanto diverse potrebbero essere le prestazioni professionali operate dai singoli professionisti associati, andando così a impattare in maniera “non del tutto veritiera” sul rischio inerente. Diversa invece l’analisi della sola vulnerabilità dello studio; in questo caso alcuna “anomalia” si potrebbe andare a formare, essendo tale analisi proprio improntata sulle procedure dello studio e non del singolo professionista. Adeguata verifica La regola tecnica n. 2 riguarda l’adeguata verifica della clientela, di cui agli articoli da 17 a 30 del D.Lgs. n. 231/2007. Il modus operandi utilizzando per l’autovalutazione del rischio viene riproposto per la valutazione del rischio di riciclaggio e di finanziamento del terrorismo che il professionista redige nei confronti del proprio cliente. Rispetto alla valutazione del rischio effettuata fino ad oggi, il professionista sarà obbligato a procedere iniziando da una classificazione della propria attività professionale. Il CNDCEC ha precisato quali sono le ulteriori attività svolte dai professionisti, oltre quelle previste per legge, a rischio non significativo, per le quali non vi è l’obbligo di adeguata verifica della clientela, riportando in un’apposita tabella: - le prestazioni a rischio inerente non significativo; - le prestazioni a rischio inerente poco significativo, abbastanza significativo e molto significativo. Sulle prestazioni professionali individuate dal CNDCEC a rischio “non significativo”, vi è da fare molta attenzione, poiché l’organo di autoregolamentazione, in linea con il generale principio di approccio al rischio, ha stabilito che la rilevazione di un rischio “non significativo” si pone sempre a valle di un processo di valutazione che, seppur non formalizzato, dovrà comunque essere svolto dal soggetto obbligato, evidenziando però che il professionista si discosta dalle regole di condotta di adeguata verifica proposte, per adottare le misure di adeguata verifica semplificata, ordinaria o rafforzata, quando ritiene che il grado di rischio inerente si collochi ad un livello maggiore rispetto a quello “non significativo”. In merito alle tempistiche, il Consiglio Nazionale evidenzia che il processo di valutazione del rischio sarà ripetuto in occasione del controllo costante secondo la periodicità programmata, ovvero ogni qualvolta vi siano modifiche nei fattori di rischio tali da determinare il passaggio da un livello di rischio inferiore ad uno superiore. La compilazione della relativa scheda di valutazione sarà ripetuta in occasione del controllo costante periodico, ovvero quando il soggetto obbligato lo reputi opportuno. In ogni caso, laddove non vi siano modifiche del livello di rischio “in negativo”, la scheda di valutazione del rischio non dovrà essere compilata. Obbligo di conservazione L’obbligo della conservazione da parte del professionista ha per oggetto la copia dei documenti acquisiti in occasione dell’adeguata verifica della clientela e l’originale ovvero la copia avente efficacia probatoria ai sensi della normativa vigente, delle scritture e registrazioni inerenti alle operazioni. Secondo la nuova impostazione, qualunque sia il supporto scelto dal professionista, la conservazione, sia essa cartacea o informatica, deve consentire quantomeno di ricostruire univocamente: - la data del conferimento dell’incarico; - i dati identificativi del cliente, del titolare effettivo ed esecutore delle informazioni sullo scopo la natura del rapporto o della prestazione; nel caso di operazioni: - la data, l’importo e la causale dell’operazione; - i mezzi di pagamento utilizzati. La regola tecnica n. 3 stabilisce una completa e insindacabile autonomia decisionale nella scelta da parte del professionista di avvalersi di un sistema di conservazione cartaceo o informatico, ma anche di continuare ad utilizzare precedenti archivi cartacei o informatici già istituiti alla data di entrata in vigore delle disposizioni previste dal D.Lgs. n. 90/2017. L’impatto di questa possibilità di scelta non è di poco conto, poiché consente di modulare tale obbligo in relazione alla organizzazione e modalità di svolgimento dell’attività professionale, senza che vi siano impedimenti e ostacoli sul fronte normativo, lasciando il destinatario dell’obbligo di conservazione libero di scegliere la migliore soluzione organizzativa con cui gestire tale incombenza, fino ad utilizzare il sistema informatico dello studio già in uso. Come per l’autovalutazione del rischio, in riferimento agli studi associati o alle società tra professionisti, i professionisti associati potranno regolamentare, mediante idonee procedure interne, prevedere una funzione generale e accentrata di conservazione, sia dei dati raccolti per l’identificazione del cliente, dell’esecutore e del titolare effettivo, sia delle altre informazioni e/o documentazioni raccolte dal singolo professionista che riceve l’incarico ovvero dal responsabile della funzione antiriciclaggio. Conclusioni Come affermato in premessa, le Regole Tecniche emanate dal CNDCEC sono vincolanti per tutti gli iscritti all’albo. I commercialisti quindi dovranno dimostrare - in caso di controllo o ispezione antiriciclaggio - di aver correttamente adempiuto alle direttive del proprio organismo di autoregolamentazione. Appare opportuno evidenziare in conclusione l’aspetto sanzionatorio collegato all’omessa autovalutazione del rischio da parte del professionista. In realtà non vi è una sanzione “diretta” prevista dal D.Lgs. n. 231/2007 in caso di “omessa” autovalutazione del rischio o mancata ottemperanza delle regole tecniche emanate dagli organismi di autoregolamentazione, sebbene queste siano vincolanti. A parere di chi scrive, però, l’omessa autovalutazione del rischio da parte del professionista andrebbe ad impattare negativamente sulle eventuali sanzioni elevate a seguito di altre violazioni. Gli articoli 56 (Inosservanza degli obblighi di adeguata verifica e dell’obbligo di astensione) e 57 (Inosservanza degli obblighi di conservazione) del D.Lgs. n. 231/2007 prevedono che la gravità della violazione (sanzione maggiore) è determinata anche tenuto conto dell’intensità e del grado dell’elemento soggettivo, anche avuto riguardo all’ascrivibilità, in tutto o in parte, della violazione alla carenza, all’incompletezza o alla non adeguata diffusione di prassi operative e procedure di controllo interno; tutte voci rientranti nella valutazione del rischio di vulnerabilità.