• +02 8739 6605
  • info@eps-italia.com

Generali

Nuovo Video Compliance Mate – Aggiornamento normativo

Con il nuovo anno la collaborazione con Compliance Journal si rinnova e si amplia.

Primo passo di questi nuovo trend la pubblicazione di un corto video che mostra le principali funzionalità del servizio di aggiornamento normativo.

Potrete visualizzare le aree dell’archivio normativo e conoscerne l’organizzazione; Vedrete come sono costruirti i report di aggiornamento e quali e quante informazioni sono presenti.

Compliance Mate è la soluzione ideale per chi deve rimanere al passo con gli aggiornamenti normativi ma non ha tempo per cercarseli da solo.

Per saperne di più andate alla pagina COMPLIANCE MATE sul sito di Compliance Journal

Chi è interessato al servizio scriva ad info@compliancejournal.it

Marketing

Il registro dei trattamenti non basta

Redigere il registro dei trattamenti o riscrivere le lettere di consenso non basta per gestire il GDPR, come purtroppo spesso si sente proporre, minimizzando la problematica e riducendola ad una semplice compilazione.

Per rendere efficace la protezione dal rischio di sanzioni, la soluzione é una gestione dimostrabile, tracciata e soprattutto completa di tutto quanto richiesto nel GDPR, ma questo implica diverse attività  e competenze multidisciplinari non comuni (legali, normative, tecnico e sistemistiche, sulla sicurezza dei dati, sugli aspetti organizzativi, sulle specifiche casistiche della privacy) ed adeguati strumenti di supporto.

Si devono poi gestire le valutazioni di impatto, le valutazioni dei rischi, le attività  di allineamento degli asset con il livello di privacy richiesto dai dati trattati, verificare l’applicazione delle regole di sicurezza, avere un adeguato supporto specialistico basato su una esperienza effettiva e consistente (DPO) per le valutazioni di adeguatezza, gestire il processo di approvazione da parte del titolare della valutazione dei trattamenti, gestire i processi di data breach con eventuali relazioni con le autorità, etc.

Un semplice archivio dai dati non basta.
Ci vuole un sistema che gestisca la mappa dei rischi, i workflow, la parte documentale per la giustificazione delle attività  svolte, i piani delle attività  con le agende e le scadenze, le comunicazioni ai vari interlocutori per la memorizzazione delle lettere e contratti, i reporting di controllo, la gestione delle versioni dei trattamenti con relativo archivio storico, accessi diversificati per le diverse tipologie di utenti (titolare, responsabili dei diversi trattamenti, incaricati, DPO).

E scegliere una soluzione specifica per il problema specifico ma non integrata ne integrabile con gli altri sistemi aziendali moltiplica sistemi, scambi di dati, integrazioni, archivi dati separati, report disaggregati

 
CGS-One  PV fornisce una soluzione completa che copre tutte le attività  richieste dal GDPR, in ogni fase, dall’assessment iniziale fino alla gestione quotidiana, alla gestione degli eventi di databreach e al supporto da parte di un DPO con pluridecennale esperienza specifica nella privacy. Il tutto integrato in un unico sistema che consente di gestire nello stesso ambiente qualsiasi altra esigenze di Governance e controllo aziendale e di adempimento alle diverse normative (es. 231/01, antiriciclaggio, certificazioni ISO, gestione dei rischi, compliance, audit, sicurezza ICT).
Marketing
EPS Partner Program

EPS 3W Partner Program

Con questo Programma di Partnerhip EPS vuole offrire ai professionisti che si occupano di tematiche di Corporate Governance, Risk Management, Compliance, Audit, Sicurezza ICT la possibilità di usare ed offrire ai propri Clienti specifici ed esclusivi strumenti informatici che consentono di aumentare la propria Competitività, garantire una maggiore customer retention e diminuire i costi di realizzazione di ogni singolo progetto grazie alla effettiva riusabilità dei modelli e dei metodi di lavoro che ognuno di Voi ha definito ed adottato.

 

La sigla “3W” sta ad indicare la logica fondamentale del programma di partnership proposto da EPS che si basa su un rapporto di successo “Win-Win-Win” tra EPS, il nostro Partner ed il Cliente.

Riteniamo, infatti, che solo realizzando progetti 3W si possa raggiungere l’obiettivo di una lunga, duratura e proficua collaborazione con i nostri Partner.

 

A chi si rivolge

Il programma è adottabile da qualsiasi Azienda con le seguenti caratteristiche:

  • Abbia delle forti competenze su almeno una delle tematiche di riferimento sopra citate
  • Svolga attività su clienti italiani e/o esteri
  • Abbia interesse ad ampliare il proprio business adottando soluzioni innovative di supporto alle proprie competenze ed attività
  • Operi con l’obiettivo di fornire servizi e soluzioni di alta qualità ai propri Clienti ed in una logica 3W
  • Sia attenta ai costi ed all’ottimizzazione delle attività sia della propria organizzazione che verso i Clienti
  • Abbia interesse ad ampliare le aree di proposta di soluzioni e servizi ai propri Clienti
  • Abbia interesse e spirito di collaborazione con professionisti di altrettanta serietà e competenza

 

Le soluzioni proposte

Le soluzioni proposte sono uniche nel loro settore per completezza e ricchezza di funzionalità, personalizzabili per ogni esigenza del Cliente e integrate in una piattaforma software, adottabile dalla più piccola alla più grande realtà aziendale.

Le soluzioni infatti sono tutte multi-utente, multi-azienda, multi-lingua (già tradotte in 5 lingue), ed utilizzabili sia in modalità “on-premise” (con installazione presso il Cliente) sia in modalità “Cloud”.

 

Abbiamo predisposto soluzioni specifiche per tutte le principali tematiche che riguardano la Governance aziendale quali:

richiedi maggiori informazioni

 

Vantaggi e benefici

Tutte le soluzioni sono realizzate su un’unica piattaforma software denominata CGS-One© (di cui EPS è distributore esclusivo per l’Italia) che consente di implementare una o più di tali soluzioni su un unico sistema integrato, senza dover aggiungere prodotti diversi per ogni singola esigenza.

Il nostro Partner può in tal modo entrare dal Cliente con un progetto e beneficiare delle potenzialità di up-selling e cross-selling offerte dalle molteplici soluzioni disponibili sulla stessa piattaforma.

Per il Cliente l’utilizzo di un unico strumento per gestire tutte le esigenze della Governance Aziendale permette di ottenere un risparmio in termini di tempi di realizzazione ed attivazione del progetto, costi di integrazione ed impegno nell’apprendimento.

 

Condizioni generali della partnership

A fronte di una definizione di un piano commerciale di almeno un anno offriamo ai nostri Partner:

  • Remunerazione della vendita, ai massimi del mercato, con obiettivi crescenti da definirsi, che si aggiunge alle offerte di consulenza proprie del Partner
  • Training gratuito sul prodotto
  • Supporto gratuito durante l’implementazione della soluzione
  • Supporto tecnico durante il processo di vendita
  • Accesso agli archivi normativi aggiornati
  • Azioni di comunicazione e marketing online e con eventi ad hoc ed in co-branding
  • Possibilità di estensione della partnership a tutte le altre soluzioni e servizi EPS attuali e futuri (Electronic Document and Process management, servizio di aggiornamento normativo, consulenza specialistica su sicurezza informatica e certificazioni,…)
  • Integrazione nel network di Partner EPS Internazionalizzazione della propria proposta
  • Coinvolgimento su clienti e prospect

 

Conclusioni

In EPS troverete un partner altamente professionale che opera con personale altamente specializzato e con pluridecennale esperienza sulle tematiche specifiche nel settore della Governance e dell’ICT che vi supporterà per qualsiasi esigenza che avrete presso i Vostri Clienti.

Per avere maggiori informazioni e aderire al programma  richiedi maggiori informazioni

Marketing

La Privacy come stimolo per il miglioramento

Le organizzazioni hanno l’esigenza di un sistema di gestione flessibile e completo, capace di adeguarsi alle esigenze organizzative aziendali, mantenere evidenza delle valutazioni e delle valutazioni fatte, monitorare e pianificare le attività di sicurezza aziendali.

Il Regolamento Generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) entrerà in vigore in tutti i paesi della comunità Europea dal 25 maggio 2018; detta normativa assegna al Titolare dirette responsabilità (accountability) sull’adeguatezza delle modalità di gestione applicate al trattamento dei dati personali.

Viene richiesto di analizzare i rischi connessi al trattamento dei dati, definire e gestire puntualmente un adeguato sistema di gestione della sicurezza delle informazioni.

La definizione formale e l’applicazione di un adeguato sistema di gestione, viene positivamente considerata in caso di incidenti ed eventualmente consente una riduzione delle sanzioni previste dalla normativa (fino a 20.000.000,00 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).

E’ perciò indispensabile, per il Titolare e per i responsabili, poter dimostrare di aver definito una struttura organizzativa adeguata alle esigenze normative ed applicato delle modalità di gestione e controllo in linea con gli standard di settore.

Per alcune tipologie di trattamenti a rischio, la normativa richiede al Titolare e al responsabile la designazione di un responsabile della protezione dei dati (DPO) che valuti e verifichi l’adeguatezza delle misure di sicurezza applicate.

La tracciatura dei processi autorizzativi e la conservazione delle documentazioni derivati dalle valutazioni svolte (Privacy by design e Privacy by Default) sono richieste dalla normativa ed indispensabili per la gestione e l’attribuzione delle responsabilità aziendali (Accountability).

La valutazione dei rischi deve raccogliere costantemente le risultanze delle verifiche, le relazioni degli eventuali incidenti, e deve prevedere il piano di mitigazione e miglioramento.
Per raccogliere le documentazioni necessarie ed avere un continuo monitoraggio delle attività è stato definito il Modello di Utilità Gestionale.

Forte della sua esperienza nella gestione della governance e dei processi aziendali, in collaborazione con esperti in tema di Privacy, EPS ha sviluppato la soluzione CGS-PV che risponde alle esigenze di tutte le aziende interessate.

La soluzione si compone di una metodologia di approccio (BPSM Business Process Security Management) e di una soluzione informativa che permette di gestire tutti gli obblighi di legge.

SCARICA LA BROCHURE

 

Marketing
Privacy

Normativa Europea sulla Privacy

La normativa sulla Privacy europea si aggiorna

L’Italia e le nazioni che fanno parte dell’Unione Europea si stanno preparando per l’appuntamento previsto per il 2018 relativo al trattamento dei dati personali ed alla loro protezione (privacy).

L’Unione Europea con il Regolamento numero 2016/679 dispone infatti un nuovo approccio che coinvolgerà tutti coloro che producono, conservano o cancellano dati, promuovendo, addirittura, la creazione di nuove figure professionali specifiche e farà registrare, senza distinzioni, un forte impatto su legislazioni, aziende, cittadini, authority di tutto il continente europeo.
 
L’intervento dell’UE è assolutamente indispensabile nell’era digitale e del web e ha come obiettivo la previsione di una regolamentazione comune tra i vari Stati per coordinare le normative esistenti con il nuovo assetto giuridico di riferimento.

L’attenzione del legislatore europeo è rivolta ai privati, alle aziende e al settore pubblico, e mira a garantire un ambiente dei dati sicuro. Riassumendo, le novità che hanno più attirato gli operatori del settore sono le seguenti:

  • Rafforzamento dei diritti di protezione e maggiore controllo sui dati personali: si avranno, infatti, norme più specifiche che consentiranno ai responsabili del trattamento di trattare i dati attraverso l’obbligo di consenso delle persone interessate (attraverso un’informativa più dettagliata con maggiori tutele per l’interessato) e una migliore informazione su quanto accade ai dati personali una volta condivisi. Inoltre, se un giovane di meno di 16 anni desidererà utilizzare servizi in linea, il prestatore dovrà verificare il consenso dei genitori. L’aspetto normativo sarà garantito dal diritto all’oblio dalla portabilità dei dati. Per le imprese l’ambiente normativo unico di regole ha il fine di evitare situazioni in cui norme nazionali possano ostacolare lo scambio di dati transfrontalieri e si crea, in questo modo, delle condizioni di concorrenza leale incoraggiando le imprese stesse a trarre beneficio dal mercato unico digitale.

 

  • Analisi del rischio e la valutazione dell’impatto sulla privacy L

La capacità della Azienda Titolare di effettuare una adeguata valutazione del rapporto tra i rischi individuati e misure tecnico-organizzative adottate, la capacità di valutare il rischio presunto riguardo a interessi/diritti degli interessati dopo averlo misurato in termini di probabilità e gravità e la capacità di commisurare le misure tecnico/organizzative al livello del rischio individuato.

I responsabili del trattamento dei dati inoltre devono garantire di raccogliere il consenso sia verso il cliente che verso le autorità di vigilanza e vedono aumentate le proprie responsabilità, determinando con ciò il passaggio da un approccio formale ad uno sostanziale. Le autorità pubbliche e le imprese private devono inoltre designare un responsabile della protezione dei dati (Data Protection Officer) incaricato di garantire il rispetto delle norme.

Il regolamento, inoltre, mira a proteggere i dati personali trattati ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, inclusa la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.

 

  • Privacy by design:

La valutazione del livello di privacy di un prodotto o di un servizio già al momento della sua creazione o attivazione così da radicare il principio di protezione dei dati personali nel prodotto o servizio stesso.

Le misure di privacy by design imposte dalla direttiva europea sono impegnative e chi non si adeguerà a tale regolamento e violerà il trattamento dei dati personali dei cittadini rischia multe che possono arrivare al 2% del fatturato o a una cifra massima di 10 milioni di euro.

 
Dal 2018 infine i cittadini potranno affidarsi alle autorità nazionali per il cosiddetto ‘data breach’, ovvero, la notificazione delle violazioni. L’inversione dell’onere passa dalla prova in ipotesi di danno a testimonianza della conformità. Molte prescrizioni presuppongono una corretta valutazione aziendale basata sul rischio effettivo riguardo a interesse e diritti dell’interessato.

Quello che possiamo affermare sin d’ora è che tutte le novità apportate dal nuovo regolamento europeo avranno, senza alcun dubbio, effetti pratici su tutti i sistemi informatici dal momento che tutti i soggetti che trattano dati personali, piattaforme web comprese, dovranno occuparsi di minimizzare tali trattamenti garantendo, in modo prioritario ed in misura ancora maggiore di quanto fatto sinora, trasparenza, compatibilità e sicurezza.

 

CGS-One è la piattaforma informativa che permette di gestire in modo completo ed efficace le varie tematiche di Compliance, fra cui quella della Privacy.
Partendo dalla definizione dell’Organigramma aziendale alla definizione delle Procedure interne ed al loro workflow approvativo ed attuativo, al controllo ed aggiornamento dei dati clienti ed i rischi collegati, CGS-One offre una soluzione integrata, personalizzabile e facile da usare.
La piattaforma offre altresì la possibilità di dematerializzare i documenti, archiviarli correttamente e tenerli pronti per qualsiasi controllo delle autorità.

Per saperne di più collegatevi alla pagina CGS-One

Marketing
Normativa Antiriciclaggio

4° Direttiva Antiriciclaggio

4° direttiva Antiriciclaggio: la scadenza si avvicina

Il denaro riciclato arriva al 5% del PIL mondiale: di fronte a dati così preoccupanti, tenendo anche conto del rapporto GAFI del febbraio 2012, il Parlamento Europeo ed il Consiglio, il 20 maggio 2015, al fine di avere norme più efficaci per prevenire l’evasione fiscale e il finanziamento al terrorismo, hanno emanato la Quarta Direttiva Antiriciclaggio n. 2015/849.

Questa direttiva entrata in vigore il 26 giugno 2015, dovrà essere recepita dagli Stati membri entro il 26 giugno 2017.

La Quarta Direttiva ribadisce la grande importanza che viene attribuita, al fine della prevenzione dei tentativi di riciclaggio, alla verifica dei titolari effetti, cioè all’identificazione delle persone fisiche che esercitano il controllo di persone giuridiche.
Per ben comprendere la sostanza delle norme al riguardo, è bene ricordare l’obbligo a carico delle Banche di “individuare la persona o le persone fisiche che, in ultima istanza, esercitano il controllo tramite la titolarità, o tramite altri mezzi, del soggetto giuridica cliente.“

In relazione all’adeguata verifica della clientela, la Quarta Direttiva Antiriciclaggio amplia il suo obbligo di esecuzione:

c) nel caso di persone che negoziano in beni, quando eseguono operazioni occasionali in contanti d’importo pari o superiore a 10 000 EUR, indipendentemente dal fatto che l’operazione sia eseguita con un’unica operazione o con diverse operazioni che appaiono collegate;

d) per i prestatori di servizi di gioco d’azzardo, all’incasso delle vincite, all’atto della puntata, o in entrambe le occasioni, quando eseguono operazioni d’importo pari o superiore a 2 000 EUR, indipendentemente dal fatto che la transazione sia eseguita con un’unica operazione o con diverse operazioni che appaiono collegate.

La Quarta Direttiva Antiriciclaggio è accompagnata dal regolamento 2015/847 (che abroga il 1781/2006) sui dati informativi che accompagnano i trasferimenti di fondi. La novità è che gli obblighi sui dati informativi non concerneranno solo l’ordinante, ma anche i beneficiari.
Tra le novità di queste norme, in vigore dal 26 giugno 2017, vi sono:

  • una maggiore tranciabilità dei flussi finanziari, come richiesto anche dalle ultime raccomandazioni del GAFI;

  • il mero sospetto che l’origine dei fondi possa derivare da illeciti fiscali genererà l’obbligo per i dipendenti bancari di effettuare la segnalazione di operazione sospetta, superando così la presunta difficoltà, che si voleva far nascere dalla natura del reato fiscale anche rispetto al momento della sua attuazione, di valutare se ci sia o meno l’obbligo di segnalare un’operazione sospetta;

  • l’introduzione dell’obbligo per gli Stati Membri di istituire registri centrali dove dovranno essere iscritti i nominativi dei titolari effettivi di società e altre entità giuridiche, compresi i trust.

Il Dipartimento del Tesoro ha emanato, in consultazione, conclusa il 20 dicembre 2016, lo schema di decreto legislativo, predisposto nel rispetto dei criteri di delega per il recepimento della IV Direttiva, volto a rettificare la normativa antiriciclaggio nazionale (decreto legislativo 21 novembre 2007, n. 231 e successive modificazioni e integrazioni) nonché ad emendare le disposizioni normative collegate alla materia.
Obiettivo della consultazione è quello di acquisire i primi orientamenti e le osservazioni che i soggetti obbligati alle disposizioni antiriciclaggio, anche attraverso le associazioni di categoria rappresentative dei settori di appartenenza, volessero segnalare. I commenti pervenuti saranno resi pubblici al termine della consultazione, salvo espressa richiesta di non divulgarli. AL momento non sono ancora stati resi noti.

Marketing

650.000 buone ragioni per tenere d’occhio la SOS

La mancata segnalazione di 5 operazioni potenzialmente sospette (SOS) , in quanto potrebbero essere state, in realtà, utilizzate per riciclare denaro attraverso i servizi offerti da Sisal, potrebbe costare all’operatore di gioco una sanzione di 630.000 euro.

Per il legislatore infatti i concessionari di gioco sono considerati operatori esposti al rischio di riciclaggio di denaro e attività fraudolente da parte di clienti così come potenzialmente a rischio di collusione tra i clienti di gioco online.
Così , al fine di rispettare le disposizioni per l’antiriciclaggio previste dal Decreto Legislativo n.231 del 21 novembre, 2007, i concessionari hanno implementato sistemi di controllo interno che monitorano i volumi delle transazioni considerate ‘anomale’ e identificano i dati personali dei clienti.
Questi sistemi però in alcuni casi potrebbero non tutelare perfettamente dal rischio di riciclaggio e frode.

Nel novembre 2014, l‘Unità di Intelligence Finanziaria della Banca d’Italia ( “UIF”) ha effettuato un controllo presso Sisal Group S.p.A. e Sisal Entertainment per verificare il rispetto delle disposizioni in materia di finanziamento del terrorismo e il riciclaggio di denaro in relazione al periodo 2012-2014. Nel corso della ispezione, durata che ha circa sei mesi, la UIF ha analizzato circa 40.000 transazioni e identificato 17 operazioni come potenzialmente sospette. A seguito del controllo la UIF, nel a maggio 2015, ha avviato un procedimento amministrativo contro le due società per “presunta omessa segnalazione di operazioni sospette” in cinque casi (dei 17 identificati come potenzialmente sospetti). Le società hanno prontamente presentato memorie difensive chiedendo un incontro che non è ancora stato fissato. Ai sensi delle leggi e dei regolamenti vigenti la sanzione applicabile per la mancata segnalazione delle operazioni sospette potrebbe arrivare a 630.000 €.
Ai sensi della normativa vigente la mancata verifica e comunicazione di potenziali operazioni sospette viene sanzionata con una multa. Azioni perpetrate volontariamente potrebbero invece essere sanzionate penalmente.
Qualora gli operatori di gioco non riescano a tutelare le stesse società o i clienti dal riciclaggio di denaro o di frode, oltre ad essere sanzionati potrebbero perdere o vedersi revocata la concessione ( a fronte di gravi violazioni), oltre ad avere maggiore difficoltà nel rinnovare le concessioni.

 

Marketing

Un facile piano di Audit

Vediamo quali sono gli step necessari a implementare un piano di Audit e a tenerne sotto controllo i risultati.
La prima cosa è DEFINIRE IL PIANO ANNUALE, ovvero quali interventi l’azienda pensa siano fondamentali per mantenere gli obiettivi, siano essi normativi, interni, legali, di gruppo.
Da queste basi si decidono gli interventi (possiamo chiamarle campagne) di Audit che possono essere anche alcune decine se l’azienda è di medie o grandi dimensioni ed è ben strutturata.
Per ogni singola campagna bisogna poi definire i controlli, definire le organizzazioni coinvolte, scrivere i questionari.
Poi inviarli, essere sicuri che vendano compilati, raccogliere le risposte e valutarle, per poi definire se i risultati sono soddisfacenti o bisogna fare modifiche organizzative, di procedura o di controllo.
Bisogna poi preparare la relazione conclusiva e le stampe relative.
 
È un lavoro facile, se impostato bene..piano standar di audit
 
Come facile?
Con tutti le normative da controllare, le risposte da catalogare, gli utenti non collaborativi da insegure per avere una risposta..

Facile dicevo, se impostato bene con l’ausilio di una piattaforma che renda agevole il lavoro, verifichi congruenze e relazioni e che permetta di creare un piano di Audit affidabile e ripetibile.
 
Già importanti istituti bancari e assicurativi hanno adottato questa soluzione, che si chiama CGS-One.
Collegata nativamente a sistemi di aggiornamento normativo come ANIA Compliance o Legal Inventory Update, la piattaforma CGS-One permette di creare, lanciare e monitorare un piano di Audit in tempi certi e con risultati facili da analizzare.
Basta fogli di calcolo e faldoni di documenti da analizzare uno ad uno.
Trovate una breve descrizione del processo e della piattaforma al seguente link
http://www.eps-italia.eu/soluzioni/cgs-one/cgs-one-audit/

Marketing
archivio digitale

Il ruolo del diagnostico nella tenuta dell’AUI

L’Archivio Unico Informatico (AUI) è fondamentale non solo per contrastare il crimine finanziario ma anche, all’interno della banca e dell’intermediario, per prevenire il rischio di riciclaggio, rischio che può tradursi in danni economici (sanzioni) e di reputazione.

Gli intermediari finanziari trasmettono alla UIF, con cadenza mensile, dati aggregati concernenti la propria operatività, al fine di consentire l’effettuazione di analisi mirate a far emergere eventuali fenomeni di riciclaggio o di finanziamento del terrorismo nell’ambito di determinate zone territoriali.

La UIF individua le tipologie di dati da trasmettere secondo un approccio basato sul rischio e definisce le modalità con cui tali dati sono aggregati e trasmessi, anche mediante accesso diretto all’archivio unico informatico.

L’AUI contiene le registrazioni dei dati identificativi del cliente e di tutte le operazioni superiori ad una certa soglia. Non bisogna confondere l’AUI con la segnalazione delle operazioni sospette: l’AUI è solo un filtro non un indicatore di sospetto. Le “sezioni” più importanti dell’AUI sono:

  • dati relativi alla transazione
  • dati sul soggetto che ha eseguito l’operazione
  • dati sul soggetto che ha eseguito l’operazione per conto di altro soggetto
  • solo per i bonifici i dati relativi alla controparte ed al suo intermediario (importante per ricostruire il flusso ed eventuali triangolazioni)

Gli adempimenti per chi è tenuto alla tenuta dell’AUI possono essere riassunti come segue:

  • Invio iniziale della scheda anagrafica (per i nuovi clienti)
  • Predisposizione flusso
  • Diagnostico
  • Invio a UIF
  • Segnalazione negativa (in caso non venga effettuata nessuna registrazione)

L’AUI è utile nel contrasto al riciclaggio perché è il complemento ideale alla segnalazione delle operazioni sospette. Infatti se queste ultime rimangono lo strumento principale per la lotta al riciclaggio va tuttavia tenuto conto che esse presuppongono che l’intermediario sia in grado (e voglia) collaborare con l’UIF. L’AUI invece permette una azione di sistema indipendente dal comportamento del singolo intermediario.

È necessario per questo motivo una corretta applicazione della normativa antiriciclaggio e, in particolare, degli obblighi di adeguata verifica della clientela e di registrazione, finalizzata ad assicurare l’integrità gestionale degli intermediari. Per far ciò è necessario dotarsi di idonee ed adeguate procedure per l’espletamento degli obblighi e di un efficace sistema dei controlli interni per garantire l’osservanza delle norme e la prevenzione del rischio per l’intermediario.

Le procedure e i controlli rappresentano uno dei “pilastri” organizzativi sul quale verte l’intero apparato normativo finalizzato alla prevenzione del rischio riciclaggio.

L’Archivio Unico informatico va inteso come strumento di lavoro e fonte di informazioni per la valutazione del cliente e della sua operatività e non come appesantimento burocratico per l’intermediario.

La corretta tenuta dell’Archivio non deve essere interpretata come un mero adempimento “burocratico” ma come una necessità per costituire una primaria fonte di informazioni sul cliente, sull’operatività e sulle sue caratteristiche.

Il diagnostico permette di mettere in atto quei controlli sull’AUI che, prima dell’invio a UIF, sono necessari (oltre che utili) per disporre di un archivio che non contenga errori e che possa essere inviato senza il rischio di incorrere in sanzioni.

Il diagnostico integrato in un software che permette di effettuare i controlli e le conseguenti azioni correttive è di utilità estrema; infatti, la quasi totalità dei diagnostici in commercio esegue in modo adeguato i controlli di merito che sono necessari per correggere eventuali anomalie prima dell’invio della segnalazione aggregata a UIF, ma non sono integrati in un sistema di corporate governance che permetta di intervenire sulle modalità di gestione degli eventi che sono causa primaria di queste anomalie.

In questo panorama, il servizio “AUIChecker” di CGS-One permette di  integrare i controlli effettuati sulle registrazioni in AUI in un contesto globale di corporate governance e di rimuovere alla fonte le cause delle anomalie. Inoltre, CGS-One è predisposto per gestire la mappa dei rischi , per la gestione delle normative ( importantissima in un contesto in continua evoluzione e che vedrà il prossimo anno l’introduzione degli interventi che daranno vita al recepimento della IV Direttiva) e per l’autovalutazione del rischio di riciclaggio.

 

Enrico Ciprian

EM Risk & Compliance

Marketing
pagamenti sicurezza

Normativa sui pagamenti elettronici: cambiamenti per le banche

Le norme previste dalla Circ. 285/13 sono orientate verso la sensibilizzazione delle banche riguardo ai rischi per se stesse e per i propri clienti; queste tengono conto di quanto previsto dal D. Lgs. 231/2001 e delle norme sulla Privacy, sulla circolazione delle informazioni in ambito bancario, sul tracciamento delle operazioni bancarie, sulle misure e sugli accorgimenti prescritti ai titolari di quei trattamenti effettuati tramite strumenti elettronici, sulle attribuzioni delle funzioni di amministratore di sistema e su quanto previsto dal TU in materia di Sicurezza sul Lavoro.

L’EBA ha emanato gli “Orientamenti finali sulla sicurezza dei pagamenti via Internet”: sollecitano ad adeguarsi entro il 30 settembre, così da comunicare i cambiamenti messi in atto a Banca d’Italia entro il 31 ottobre.

Gli aggiornamenti n.15 e n.16 della Circ. 285/15 sono mirati a ridefinire il quadro normativo del sistema informatico; di conseguenza sono da revisionare:

  • Aspetti documentali, ovvero lo sviluppo della documentazione interna della banca;
  • Aspetti tecnici, cioè le analisi dei report forniti dai sistemi informativi interni o dall’outsourcer;
  • Esecuzione di test sui sistemi informativi volti a verificare il rispetto della legge.

In caso di verifica esterna, suggeriamo di facilitare la consultazione dei documenti tramite l’inserimento di capitoli specifici che descrivano l’organizzazione, il sistema dei controlli della banca, l’organizzazione dell’ICT e il presidio dei rischi informatici.

Invitiamo inoltre a svolgere un’attività di audit volta a evidenziare la situazione complessiva: talvolta le banche si affidano ai soli outsourcers, i quali garantiscono controlli SOLO a livello tecnologico.

Al fine di svolgere in modo adeguato i controlli previsti, consigliamo di considerare quelle norme emesse da COBIT, ISACA, ITCI (IT Compliance Institute), IIAA, oltre a quanto previsto in tema di sicurezza informatica da ISO 27002.

Segnaliamo, infine, che gli aspetti riguardanti la Continuità Operativa, affrontati all’interno del Cap.5 dell’Agg.15 della Circ. 285/13, devono risultare oggetto di una documentazione specifica interna alla banca: approfondiremo la questione nei prossimi articoli.

 

L’aggiornamento 16 della Circ. 285/13

Per risultare conformi alle disposizioni dell’Agg.16 della Circ. 285 “Disposizioni di vigilanza per le banche” di Banca D’Italia, dobbiamo mantenere e aggiornare una Policy di sicurezza informatica: questa deve essere approvata dall’organismo destinato alla supervisione strategica e comunicata sia al personale, sia alle terze parti coinvolte nella gestione delle informazioni o delle componenti del sistema informativo.

 

La Policy deve riportare:

  • Obiettivi del processo di gestione di sicurezza informatica, in modo che siano allineati con la propensione al rischio informatico definito a livello aziendale ed espressi in termini di esigenze di protezione e di controllo del rischio tecnologico;
  • Principi generali di sicurezza concernenti l’utilizzo e la gestione del sistema informativo da parte dei diversi profili aziendali;
  • Ruoli e responsabilità connessi alla funzione di sicurezza informatica, all’aggiornamento e alla verifica delle policy;
  • Quadro di riferimento organizzativo e metodologico, definito in maniera tale da garantire l’appropriato livello di protezione dei processi di gestione dell’ICT,;
  • Linee d’indirizzo per le attività di comunicazione, formazione e sensibilizzazione delle diverse classi di utenti;
  • Revisione delle norme interne, così da riconsiderare le conseguenze di eventuali violazioni da parte del personale;
  • Richiamo delle norme di legge e delle altre normative esterne, affinché risultino coerenti alla sicurezza di informazioni e risorse ICT.

Ricordiamo che la policy di Sicurezza informatica deve contenere quanto previsto dal documento “ABE – Orientamenti finali sulla sicurezza dei pagamenti via Internet”.

Infine, consigliamo di rivedere anche i seguenti documenti:

  • Procedura di gestione degli incidenti;
  • Procedura di gestione dei cambiamenti,

 

e di disporre di una Brochure da distribuire ai clienti, da riportare tra le risposte ABE.

 

Sara Ciprian

Enrico Ciprian

EM-Risk

Marketing
12

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi