Istituto per la vigilanza sulle assicurazioni. Novità in materia di Antiriciclaggio

30 Ottobre 2023

Novità in materia di Antiriciclaggio

— di Anna Gabriele –—

L’IVASS Istituto per la vigilanza sulle assicurazioni ha ufficialmente dichiarato all’EBA Autorità bancaria europea l’intenzione di conformarsi alle Linee guida/Orientamenti sulle politiche e le procedure relative alla gestione della conformità e al ruolo e alle responsabilità del responsabile antiriciclaggio ai sensi dell’articolo 8 e del capo VI della direttiva (UE) 2015/849.

L’IVASS ha richiamato il proprio regolamento n. 44/2019 sull’organizzazione, le procedure e i controlli interni e sull’adeguata verifica della clientela, come da ultimo modificato dal provvedimento n. 111/2021, affermando che esso è in larga misura allineato alle suddette Linee guida, e aggiungendo che talune previsioni devono essere ulteriormente specificate per assicurare la piena conformità con le stesse Linee guida (in particolare, l’identificazione e il ruolo del membro dell’organo amministrativo responsabile per l’antiriciclaggio/antiterrorismo e le soglie quantitative e qualitative del criterio di proporzionalità di cui ai paragrafi 32-34 delle Linee guida per la nomina di un distinto responsabile compliance da parte degli intermediari assicurativi). A tal fine l’Istituto ha avviato in data 14 giungo u.s. la pubblica consultazione del Regolamento n. 44/2019, il cui termine per inviare eventuali osservazioni, commenti e proposte era lo scorso 14 luglio. Si rimane in attesa quindi della pubblicazione del documento definitivo, mentre Banca d’Italia ha già pubblicato con provvedimento del 1° agosto 2023 le nuove Disposizioni in materia di organizzazione, procedure e controlli interni in materia antiriciclaggio che recepiscono le indicazioni fornite dagli Orientamenti dell’EBA.

La segnalazione delle operazioni sospette

Infine, l’IVASS ha dichiarato che intende conformarsi anche ai paragrafi 51 e 52 delle Linee guida – che richiedono l’attribuzione della segnalazione delle operazioni sospette – SOS all’UIF esclusivamente al responsabile della funzione antiriciclaggio/antiterrorismo – non appena la legislazione italiana sarà stata modificata: la responsabilità per quest’attività, infatti, può essere attribuita anche a persone diverse da detto responsabile, in base all’art. 36 del decreto legislativo n.231/2007; sarà pertanto necessario un cambiamento della legislazione italiana per poter assicurare la conformità con questo punto delle Linee guida.

Si segnala inoltre che l’IVASS ha comunicato che, a partire da quest’anno, deve essere adottata una nuova procedura per l’invio delle informazioni dovute dalle imprese, sia italiane che estere, ai sensi dei Regolamenti IVASS n. 44 del 12 febbraio 2019 e n. 50 del 3 maggio 2022, ai fini della rilevazione antiriciclaggio/antiterrorismo e delle informazioni relative ai premi danni raccolti tramite intermediari assicurativi e attività direzionale (https://www.ivass.it/media/avviso/nuova-procedura-raccolta-dati/).

La nuova procedura, di cui è stata data comunicazione tramite Lettera al mercato del 29 novembre 2022, è basata sulla piattaforma INFOSTAT e ha sostituito le precedenti modalità di invio tramite PEC. Per operare nella nuova modalità le imprese, sia italiane che estere, che non erano già registrate lo hanno fatto, entro il 31 marzo 2023, accreditandosi sulla piattaforma INFOSTAT, secondo le istruzioni presenti al seguente link: https://www.ivass.it/operatori/imprese/raccoltadati/infostat/Modulo_accreditamento_altre_Survey.docx?force_download=1.

La protezione delle persone che segnalano violazioni del diritto dell’Unione (Wistleblowing)

Il 15 marzo scorso è stato pubblicato sulla Gazzetta Ufficiale n. 63 il D.Lgs. 10 marzo 2023, n. 24 attuativo della Direttiva UE 2019/1937, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (Wistleblowing). Tale Decreto impatta, per le modifiche introdotte, a far data dal 15 luglio 2023 per le società con una media di lavoratori maggiore di 250 dipendenti, e dal 17 dicembre 2023 per le società con una media di lavoratori di almeno 50 dipendenti.

A tal fine si segnalano le principali implicazioni che tale nuova disciplina ha introdotto in materia di protezione dei dati personali:

Redigere Informativa chiara e facilmente fruibile in materia di segnalazioni;
Istruire ed autorizzare espressamente allo specifico trattamento – ai sensi degli artt. 29 e 32, par. 4 del GDPR e dell’art. 2 quaterdecies del codice privacy – i dipendenti competenti a ricevere o a dare seguito alle segnalazioni;
Disciplinare il rapporto con eventuali fornitori esterni che trattano dati personali per loro conto designandoli “responsabili del trattamento”ai sensi dell’art. 28 GDPR o dell’art. 18 del D.Lgs.51/2018
DPIA (Data Protection Impact Assessment) sul software utilizzato per ricevere e gestire le segnalazioni;
Implementazione misure tecniche che garantiscano, anche tramite il ricorso a strumenti di crittografia, la riservatezza della sua identità, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione;
Minimizzazione e corretta data retention del trattamento dei dati personali del segnalante;
Calendarizzazione a cadenza periodica di specifica formazione in materia di whistleblowing;
Predisposizione policy e procedure specifiche in materia di whistleblowing, che consentano di gestire, in modo conforme, anche segnalazioni pervenute mediante canali distinti da quello scritto e informatizzato (linee telefoniche, sistemi di messaggistica vocale, incontri diretti, etc.).