• +02 8739 6605
  • info@eps-italia.com

Tag Archives: banche

Siamo su Top Vendors 2018

Top Vendors é dal 1997 l’unica guida ai prodotti e servizi specifici per il mercato finanziario.

Da ormai tre anni EPS è presente con tutte le sue soluzioni. Recentemente sono state aggiunte le novità relative alla gestione dell’antiriciclaggio secondo la nuova direttiva e la soluzione integrata per la gestione dei dati sensibili e personali (Privacy)

Marketing
Antiriciclaggio

Antiriciclaggio: sicuri che riguardi solo le banche?

È con piacere che introduciamo la IV Direttiva Antiriciclaggio n. 2015/849 del Parlamento europeo e del Consiglio. È venuta al mondo il 20 maggio 2015 con un unico e solo obiettivo da raggiungere: prevenire l’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo. Vedremo insieme come la sua nascita abbia modificato il regolamento UE n. 648/2012 del Parlamento europeo e del Consiglio e abrogato le direttive n. 2005/60/CE del Parlamento europeo e del Consiglio e n. 2006/70/CE della Commissione.

Entrerà in vigore il 1 gennaio 2017.

 

Innanzitutto, dobbiamo capire insieme di cosa si tratta: la Direttiva stabilisce che la Commissione europea e ogni Stato membro svolgano una propria valutazione del rischio di riciclaggio a livello europeo e nazionale. Come è stato spesso osservato, il sistema antiriciclaggio, se non adeguatamente acquisito dai soggetti pubblici e privati in esso coinvolti, corre il rischio di tramutarsi in un apparato di obblighi solo formali. Tali obblighi risultano forse efficaci sul piano della prevenzione del contrasto? Ovviamo a questo inconveniente. La Direttiva non vuole far altro che responsabilizzare le autorità pubbliche europee e nazionali, imponendo loro di procedere in anticipo per individuare e valutare i maggiori rischi di riciclaggio, in modo da predisporre e coordinare le misure necessarie a mitigarli. Ecco che tali valutazioni non rappresentano altro che il quadro generale di scenario entro il quale orientare gli sforzi di prevenzione e contrasto del fenomeno.

 

Le autorità italiane hanno già provveduto a tali valutazioni a partire dal 2014. Ecco che è entrato in gioco un nuovo (o vecchio?) organismo: il Comitato di sicurezza finanziaria. È presieduto dal direttore generale del Tesoro, e composto da rappresentanti di vari ministeri, della Banca d’Italia, della UIF, della Consob, dell’IVASS, della Guardia di Finanza, dell’Arma dei carabinieri, della Direzione Investigativa Antimafia e della Direzione Nazionale Antimafia. In virtu’ dell’attuazione delle nuove raccomandazioni GAFI, il Comitato di sicurezza finanziaria ha condotto la prima analisi nazionale dei rischi di riciclaggio e finanziamento del terrorismo (National Risk Assessment).

 

Ecco i punti chiave dell’analisi:

  • Identificare, analizzare, valutare il rischio di riciclaggio di denaro e di finanziamento del terrorismo
  • Individuare i rischi più rilevanti
  • Individuare i metodi di svolgimento delle attività criminali
  • Mettere in evidenza le vulnerabilità del sistema nazionale di prevenzione, di investigazione e di repressione dei suddetti fenomeni
  • Circoscrivere i settori maggiormente esposti a tali rischi

 

Tutto questo perché? Vediamo che i fini principali sono l’elaborazione di linee di intervento per la mitigazione dei rischi stessi e l’adozione di un approccio basato sul rischio all’attività di contrasto al riciclaggio e di finanziamento del terrorismo.

Tornando alla nostra Direttiva… Essa richiede quindi a intermediari e professionisti di svolgere una propria valutazione del rischio di riciclaggio. Scopo? Modulare le relative misure di mitigazione.

 

AUTOVALUTAZIONE: è davvero necessaria?

L’autovalutazione dei rischi assunti rappresenta da tempo uno dei pilastri della regolamentazione prudenziale di banche e intermediari finanziari. Questa è addirittura soggetta a dettagliato scrutinio da parte delle autorità di vigilanza e costituisce la base per la determinazione dei requisiti di capitale degli intermediari. Vediamo che la IV Direttiva non vuole far altro che trasferire questa tecnica normativa anche nel campo di competenza dell’antiriciclaggio. È forse sbagliato? Certo che no! Soprattutto se i risultati di tale autovalutazione saranno in seguito trasmessi alle autorità di vigilanza o alle altre autorità competenti. Queste ne verificheranno l’appropriatezza e le inseriranno nella valutazione nazionale dei rischi.

 

Infine, ci troviamo di fronte a un ultimo grande obiettivo raggiunto dalla IV Direttiva: essa collega al rischio di riciclaggio l’intensità degli obblighi di adeguata verifica della clientela. Non solo la verifica semplificata, ma anche rafforzata.

La III Direttiva stabiliva che il sistema antiriciclaggio si doveva fondare sull’adeguata verifica della clientela, sulla registrazione e contabilizzazione delle transazioni, sulla segnalazione delle operazioni sospette. Un’adeguata verifica significa l’identificazione del cliente e del beneficiario effettivo, il monitoraggio costante e continuo del rapporto. Tali obblighi devono essere calibrati in funzione del rischio di riciclaggio associato al cliente e all’operazione. E non finisce qui! In relazione a talune categorie di clienti o operazioni sono previste anche particolari forme di adeguata verifica semplificata o rafforzata.

Quindi, cosa stiamo introducendo di nuovo? La IV Direttiva conferma queste disposizioni. La novità di cui vi stiamo parlando riguarda l’autonomia degli Stati membri: questa è basata sulla valutazione del rischio di riciclaggio nel determinare i casi in cui richiedere l’adeguata verifica semplificata.

 

E cosa dire dell’Italia?

La Banca d’Italia ha richiesto lo scorso anno l’autovalutazione del rischio di riciclaggio alle aziende di credito e sta chiedendo lo stesso alle società fiduciarie che richiedono l’iscrizione all’Albo. Questa richiesta fa seguito alla “Analisi nazionale dei rischi di riciclaggio e finanziamento del terrorismo” relativa all’esercizio 2014 e pubblicata dal Comitato di Sicurezza Finanziaria.

La richiesta di Banca d’Italia probabilmente verrà estesa a tutti gli intermediari finanziari.

 

La piattaforma CGS-One, in funzione delle indicazioni di Banca d’Italia e tenendo in considerazione le Raccomandazioni del GAFI e le disposizioni della IV Direttiva, permette di misurare il rischio di riciclaggio.

Cosa propone il modello di autovalutazione di CGS-One? Esso ripercorre le richieste delle Autorità di Vigilanza e si basa sui seguenti elementi:

  • Mappa dei rischi antiriciclaggio inclusa, che può essere personalizzata direttamente dal cliente
  • Grado di esposizione al rischio di riciclaggio in funzione delle sanzioni previste dalle norme
  • Valutazione dell’esposizione al rischio inerente di riciclaggio e finanziamento del terrorismo
  • Analisi degli elementi di mitigazione che permettono di ridurre il rischio inerente
  • Determinazione dell’esposizione al rischio residuo, ossia al profilo di rischio attuale dell’intermediario
  • Analisi dei presidi posti in essere, ossia valutazione delle vulnerabilità, attraverso attività e controlli messi in atto dalle funzioni preposte
  • Aggiustamento dell’esposizione al rischio residuo in funzione dei risultati delle attività e dei controlli messi in atto e predisposizione di un piano di interventi.

 

CGS-One permette, inoltre, di predisporre il piano di attività e la relazione annuale della funzione e di effettuare l’analisi di impatto delle normative nuove o aggiornate. Tale analisi potrà avvenire in automatico, se si sottoscrive anche il modulo di aggiornamento normativo, con il collegamento delle norme ai rischi e ai processi dell’intermediario,

Cosa possiamo concludere? La disponibilità di informazioni circa la situazione del cliente non appare sufficiente per mettere in atto un’autovalutazione del rischio che sia conforme alle norme in vigore: occorre anche disporre di strumenti che permettano di mettere in relazione tali informazioni con le norme stesse ed effettuare la valutazione del rischio inerente, degli elementi di mitigazione, del rischio residuo, dell’efficacia di attività e controlli traducendo questi ultimi in azioni correttive se necessario.

 

Sara Ciprian

Enrico Ciprian

EM-AUDIT & COMPLIANCE SRL

info@eps-italia.it

Marketing
pagamenti sicurezza

Normativa sui pagamenti elettronici: cambiamenti per le banche

Le norme previste dalla Circ. 285/13 sono orientate verso la sensibilizzazione delle banche riguardo ai rischi per se stesse e per i propri clienti; queste tengono conto di quanto previsto dal D. Lgs. 231/2001 e delle norme sulla Privacy, sulla circolazione delle informazioni in ambito bancario, sul tracciamento delle operazioni bancarie, sulle misure e sugli accorgimenti prescritti ai titolari di quei trattamenti effettuati tramite strumenti elettronici, sulle attribuzioni delle funzioni di amministratore di sistema e su quanto previsto dal TU in materia di Sicurezza sul Lavoro.

L’EBA ha emanato gli “Orientamenti finali sulla sicurezza dei pagamenti via Internet”: sollecitano ad adeguarsi entro il 30 settembre, così da comunicare i cambiamenti messi in atto a Banca d’Italia entro il 31 ottobre.

Gli aggiornamenti n.15 e n.16 della Circ. 285/15 sono mirati a ridefinire il quadro normativo del sistema informatico; di conseguenza sono da revisionare:

  • Aspetti documentali, ovvero lo sviluppo della documentazione interna della banca;
  • Aspetti tecnici, cioè le analisi dei report forniti dai sistemi informativi interni o dall’outsourcer;
  • Esecuzione di test sui sistemi informativi volti a verificare il rispetto della legge.

In caso di verifica esterna, suggeriamo di facilitare la consultazione dei documenti tramite l’inserimento di capitoli specifici che descrivano l’organizzazione, il sistema dei controlli della banca, l’organizzazione dell’ICT e il presidio dei rischi informatici.

Invitiamo inoltre a svolgere un’attività di audit volta a evidenziare la situazione complessiva: talvolta le banche si affidano ai soli outsourcers, i quali garantiscono controlli SOLO a livello tecnologico.

Al fine di svolgere in modo adeguato i controlli previsti, consigliamo di considerare quelle norme emesse da COBIT, ISACA, ITCI (IT Compliance Institute), IIAA, oltre a quanto previsto in tema di sicurezza informatica da ISO 27002.

Segnaliamo, infine, che gli aspetti riguardanti la Continuità Operativa, affrontati all’interno del Cap.5 dell’Agg.15 della Circ. 285/13, devono risultare oggetto di una documentazione specifica interna alla banca: approfondiremo la questione nei prossimi articoli.

 

L’aggiornamento 16 della Circ. 285/13

Per risultare conformi alle disposizioni dell’Agg.16 della Circ. 285 “Disposizioni di vigilanza per le banche” di Banca D’Italia, dobbiamo mantenere e aggiornare una Policy di sicurezza informatica: questa deve essere approvata dall’organismo destinato alla supervisione strategica e comunicata sia al personale, sia alle terze parti coinvolte nella gestione delle informazioni o delle componenti del sistema informativo.

 

La Policy deve riportare:

  • Obiettivi del processo di gestione di sicurezza informatica, in modo che siano allineati con la propensione al rischio informatico definito a livello aziendale ed espressi in termini di esigenze di protezione e di controllo del rischio tecnologico;
  • Principi generali di sicurezza concernenti l’utilizzo e la gestione del sistema informativo da parte dei diversi profili aziendali;
  • Ruoli e responsabilità connessi alla funzione di sicurezza informatica, all’aggiornamento e alla verifica delle policy;
  • Quadro di riferimento organizzativo e metodologico, definito in maniera tale da garantire l’appropriato livello di protezione dei processi di gestione dell’ICT,;
  • Linee d’indirizzo per le attività di comunicazione, formazione e sensibilizzazione delle diverse classi di utenti;
  • Revisione delle norme interne, così da riconsiderare le conseguenze di eventuali violazioni da parte del personale;
  • Richiamo delle norme di legge e delle altre normative esterne, affinché risultino coerenti alla sicurezza di informazioni e risorse ICT.

Ricordiamo che la policy di Sicurezza informatica deve contenere quanto previsto dal documento “ABE – Orientamenti finali sulla sicurezza dei pagamenti via Internet”.

Infine, consigliamo di rivedere anche i seguenti documenti:

  • Procedura di gestione degli incidenti;
  • Procedura di gestione dei cambiamenti,

 

e di disporre di una Brochure da distribuire ai clienti, da riportare tra le risposte ABE.

 

Sara Ciprian

Enrico Ciprian

EM-Risk

Marketing
1

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi