1. Identità

2. L’attività

2.1 L’attività riservata

A. L'esercizio professionale nei confronti del pubblico dell'attività di mediatore creditizio è riservato ai soggetti iscritti in un apposito elenco tenuto dall'Organismo (OAM – Organismo Agenti e Mediatori).
B. L'attività di mediazione creditizia può essere quindi esercitata solo da società iscritte presso l'Organismo per cui “Chiunque esercita professionalmente nei confronti del pubblico l'attività di mediatore creditizio senza essere iscritto nell'elenco di cui all'articolo 128-sexies, comma 2, è punito con la reclusione da 6 mesi a 4 anni e con la multa da euro 2.065 a euro 10.329”.
C. Ne consegue che, non possono essere esercitate da soggetti che non siano iscritti nell’elenco ex art. 128-sexies, comma 2, del TUB le attività di “consulenza” - quali, ad esempio, la individuazione e disamina del fabbisogno finanziario del cliente, la traduzione delle sue esigenze finanziarie nella forma di finanziamento più adeguata, la descrizione e valutazione delle caratteristiche dei prodotti offerti sul mercato et similia - qualora possano avere quale effetto la messa in contatto dell’utente con l’intermediario erogante e la successiva conclusione del contratto di finanziamento. Infatti, unicamente un’attività di consulenza che rimanga del tutto svincolata dalla possibile conclusione di un contratto di finanziamento può essere esercitata da soggetti non iscritti nell’elenco. (Cfr. Comunicazione OAM n. 2/13).
D. Il mediatore creditizio può svolgere esclusivamente l'attività indicata al comma 1 ( Articolo 128-quinquies del TUB vedi sopra) nonché attività connesse o strumentali.

2.2 Le Attività connesse e strumentali

L’art Articolo 128-quinquies terzo comma del TUB, come suddetto, dispone che “il Mediatore creditizio può svolgere esclusivamente l’attività indicata al comma 1 nonché attività connesse o strumentali.”

È strumentale l'attività che ha carattere ausiliario rispetto a quella esercitata. A titolo meramente indicativo, rientrano tra le attività strumentali quelle di:

a) Studio, ricerca e analisi in materia economica e finanziaria;
b) Gestione di immobili ad uso funzionale;
c) Gestione di servizi informatici o di elaborazione dati;
d) Formazione e addestramento del personale

È connessa l'attività accessoria che comunque consente di sviluppare l'attività esercitata. A titolo meramente indicativo, costituiscono attività connesse la prestazione di servizi di:

a) Informazione commerciale;
b) Assunzione di partecipazioni.

Al mediatore creditizio è invece precluso concludere contratti, ovvero effettuare, per conto di banche o di intermediari finanziari, l'erogazione di finanziamenti e ogni forma di pagamento o d’incasso di denaro contante, di altri mezzi di pagamento o di titoli di credito.

I mediatori creditizi possono raccogliere le richieste di finanziamento sottoscritte dai clienti, svolgere una prima istruttoria per conto dell'intermediario erogante e inoltrare tali richieste a quest'ultimo.

Si rammenta altresì che non costituisce esercizio di mediazione creditizia:

A. La promozione e la conclusione, da parte di fornitori di beni e servizi, di contratti di finanziamento unicamente per l'acquisto di propri beni e servizi sulla base di apposite convenzioni stipulate con le banche e gli intermediari finanziari. In tali contratti non sono ricompresi quelli relativi al rilascio di carte di credito;
B. La promozione e la conclusione, da parte di banche, intermediari finanziari, imprese di investimento, società di gestione del risparmio, SICAV, imprese assicurative, istituti d pagamento, istituti di moneta elettronica e Poste italiane S.p.A. di contratti relativi alla concessione di finanziamenti sotto qualsiasi forma e alla prestazione di servizi di pagamento;
C. La stipula, da parte delle associazioni di categoria e dei Confidi, di convenzioni con banche, intermediari finanziari ed altri soggetti operanti nel settore finanziario.

3. I REQUISITI

3.1 Premessa

1. L’iscrizione nell’elenco dei mediatori creditizi, prevede la sussistenza dei seguenti dei seguenti requisiti:

• Forma di società per azioni, di società in accomandita per azioni, di società a responsabilità limitata o di società cooperativa;
• Sede legale e amministrativa o, per i soggetti comunitari, stabile organizzazione nel territorio della Repubblica;
• Oggetto sociale conforme con quanto previsto dall’articolo 128- sexies, comma 3, e rispetto dei requisiti di organizzazione;
• Possesso da parte di coloro che detengono il controllo e dei soggetti che svolgono funzioni di amministrazione, direzione e controllo dei requisiti di onorabilità;
• Possesso da parte dei soggetti che svolgono funzioni di amministrazione, direzione e controllo, di requisiti di professionalità, compreso il superamento di un apposito esame.

• L’efficacia dell’iscrizione è condizionata alla stipula di una polizza di assicurazione della responsabilità civile per i danni arrecati nell’esercizio dell’attività derivanti da condotte proprie o di terzi del cui operato i mediatori rispondono a norma di legge.
  
  

I soggetti che svolgono funzioni di amministrazione, direzione o controllo di una società di mediazione devono disporre di requisiti di onorabilità all’inizio e per tutto il mandato:

A. Non trovarsi in una delle condizioni di ineleggibilità o decadenza previste dall'articolo 2382 del codice civile;
B. Non essere stati sottoposti a misure di prevenzione disposte dall'autorità giudiziaria ai sensi della legge 27 dicembre 1956, n. 1423, o della legge 31 maggio 1965, n. 575, salvi gli effetti della riabilitazione;
C. Non essere stati condannati con sentenza irrevocabile, salvi gli effetti della riabilitazione:

1. A pena detentiva per uno dei reati previsti dalle norme che disciplinano l'attività bancaria, finanziaria, mobiliare, assicurativa e dalle norme in materia di mercati e valori mobiliari, di strumenti di pagamento;
2. A pena detentiva per uno dei reati previsti nel titolo XI del libro V del codice civile e nel regio decreto del 16 marzo 1942, n. 267;
3. A pena detentiva per un tempo non inferiore a un anno per un reato contro la pubblica amministrazione, contro la fede pubblica, contro il patrimonio, contro l'ordine pubblico, contro l'economia pubblica ovvero per delitto in materia tributaria;
4. Alla reclusione per un tempo non inferiore a due anni per un qualunque delitto non colposo.

Non possono essere altresì iscritti nell'elenco coloro nei confronti dei quali sia stata applicata su richiesta delle parti una delle pene previste dal comma 1, lettera c), salvo il caso dell'estinzione del reato. Nel caso in cui siano state applicate su richiesta delle parti, le pene previste dal comma 1, lettera c), numeri 1) e 2), non rilevano se inferiori a un anno.

1) Il casellario richiesto dall’interessato alla Procura della Repubblica che riporta la dicitura “NULLO” non conferma il possesso del requisito di onorabilità in capo allo stesso - Il casellario giudiziale richiesto alla Procura della Repubblica dal diretto interessato - ai sensi dell’art. 27 del D.P.R. 14 novembre 2002 n. 313 - non riporta, ad esempio, le sentenze di condanna o di patteggiamento passate in giudicato per le quali è stato concesso il beneficio della “non menzione” ex art. 175 c.p. - Costituisce causa ostativa al possesso del requisito di onorabilità ogni sentenza di condanna passata in giudicato e sentenza di patteggiamento – per i reati indicati all’art. 15, c. 1, lett. c) D. Lgs. n. 141/2010 – indipendentemente dall’eventuale concessione del beneficio della non menzione nel casellario giudiziale. - L’Organismo è tenuto, quindi, a verificare la sussistenza di ogni condanna riferibile all’interessato (per i reati di cui al menzionato art. 15) e, per tale finalità, consulta il certificato generale del casellario giudiziale completo, richiesto direttamente alla Procura della Repubblica ai sensi dell’art. 28 del D.P.R. 14 novembre 2002 n. 313, il quale riporta tutte le iscrizioni esistenti a carico di un determinato soggetto, ivi comprese quelle oggetto del beneficio della “non menzione”. Ne deriva che il casellario richiesto dall’interessato che riporta la dicitura ‘NULLO’ e quello in possesso dell’Organismo possono non coincidere.

2) Il possesso dei requisiti di onorabilità nel caso in cui la società che presenta l’istanza di iscrizione nel relativo ruolo sia controllata da un’altra società è richiesto a tutti i soggetti che svolgono funzioni di amministrazione, direzione e controllo in entrambe le società.

I requisiti professionali richiesti per i soggetti che svolgono funzioni di amministrazione, direzione o controllo di una società di mediazione sono i seguenti:

A. i soggetti con funzioni di amministrazione, direzione e controllo devono essere scelti secondo criteri di professionalità e competenza fra persone che abbiano maturato una esperienza complessiva di almeno un triennio attraverso l'esercizio di:

1. Attività di amministrazione o di controllo ovvero compiti direttivi presso imprese;
2. Attività professionali in materia attinente al settore creditizio, finanziario, mobiliare;
3. Attività d'insegnamento universitario in materie giuridiche o economiche;
4. Funzioni amministrative o dirigenziali presso enti pubblici, pubbliche amministrazioni, associazioni imprenditoriali o loro società di servizi aventi attinenza con il settore creditizio, finanziario, mobiliare ovvero presso enti pubblici o pubbliche amministrazioni che non hanno attinenza con i predetti settori purché le funzioni comportino la gestione di risorse economico finanziarie.

B. il presidente del consiglio di amministrazione deve essere scelto secondo criteri di professionalità e competenza fra persone che abbiano maturato un’esperienza complessiva di almeno un quinquennio attraverso l'esercizio dell'attività o delle funzioni indicate alla lettera a);
C. L’amministratore unico, l'unico socio della società a responsabilità limitata, l'amministratore delegato e il direttore generale devono essere in possesso di una specifica competenza in materia creditizia, finanziaria, mobiliare maturata attraverso esperienze di lavoro in posizione di adeguata responsabilità per un periodo non inferiore a un quinquennio. Analoghi requisiti sono richiesti per le cariche che comportano l'esercizio di funzioni equivalenti a quella di direttore generale.

Ai fini dell’iscrizione della società le persone fisiche aventi funzioni di amministrazione e direzione, scelte secondo i criteri sopra descritti, devono altresì essere in possesso dei seguenti requisiti di professionalità:

• Titolo di studio non inferiore al diploma di istruzione secondaria superiore, rilasciato a seguito di un corso di durata quinquennale ovvero quadriennale integrato dal corso annuale previsto per legge, o un titolo di studio estero ritenuto equipollente a tutti gli effetti di legge;
• Frequenza di un corso di formazione professionale nelle materie rilevanti nell'esercizio dell’attività;
• Possesso di un'adeguata conoscenza in materie giuridiche, economiche, finanziarie e tecniche, accertata tramite il superamento dell'apposito esame, indetto dall'Organismo secondo le modalità da questo stabilite. (Cfr. art. 14 del D.lgs. n. 141/2010).
  
  

A. Il 4 luglio 2017 è entrato in vigore il nuovo sistema sanzionatorio dell’OAM il quale ha come presupposto il D.lgs. n.90 del 2017, con l’obiettivo di Assicurare la proporzionalità fra le contestazioni accertate e le sanzioni e come strumento operativo le linee guida dell’OAM che estrinsecano la trasparenza e conoscibilità dei criteri utilizzati all’interno dell’esercizio della propria discrezionalità istituzionale. In particolare, la gamma di misure previste dall’articolo 8 del D.lgs. n.90 del 2017 è infatti sufficientemente ampia da consentire una reale valutazione degli aspetti relativi al caso concreto, tenendo conto della lesività dei singoli comportamenti per la stabilità, l’integrità e la reputazione dell’intero settore dell’intermediazione del credito.

B. Nel sistema sanzionatorio le sanzioni pecuniarie rappresentano lo strumento sanzionatorio ordinario mentre il richiamo e la sospensione o cancellazione avranno un’applicazione residuale riservata, rispettivamente, ai casi di minore o maggiore gravità. Con riferimento ai procedimenti sanzionatori in corso l’Organismo specifica che si applicherà la disciplina più favorevole al destinatario della sanzione nel rispetto dei principi emersi in sede di giurisprudenza europea.

C. L’azione sanzionatoria si muove quindi, lungo queste direttrici:

1. La sanzione del richiamo, sarà applicata nei casi di minore gravità della lesione provocata;
2. Le sanzioni pecuniarie saranno tipicamente irrogate a coloro che agiscono in spregio delle norme poste a tutela del consumatore e degli altri soggetti operanti nel mercato del credito e risultano commisurate alla gravità della condotta lesiva posta in essere da parte del soggetto sanzionato;
3. Le sanzioni della sospensione e/o cancellazione protratta per cinque anni dall’albo saranno applicate nei casi di maggiore gravità della lesione provocata.

D. Nella determinazione della sanzione l’OAM terrà conto di ogni circostanza e, in particolare:

• Del grado di responsabilità;
• Della capacità finanziaria del responsabile della violazione;
• Dell’entità del vantaggio ottenuto o delle perdite evitate attraverso la violazione, nella misura in cui sia determinabile;
• Dei pregiudizi cagionati a terzi attraverso la violazione;
• Del livello di cooperazione del responsabile della violazione con l'Organismo;
• Delle precedenti violazioni delle disposizioni che regolano l'attività di agenzia in attività finanziaria, di mediazione creditizia e di consulenza del credito;
• Delle potenziali conseguenze sistemiche della violazione.

(Art 8 comma 17 D.lgs. n. 90/2017)

E. L’importo della sanzione sarà determinato individuando un valore compreso tra il minimo (1000 €) ed il massimo edittale (10% del fatturato, calcolato al netto dell’IVA e delle altre imposte direttamente legate ai contratti) stabiliti dalla legge; detto importo sarà, anche con riferimento alle persone giuridiche, il risultato di una valutazione in concreto che tenga conto della gravità dell’infrazione, commisurata ai criteri forniti dalla norma. Nella determinazione del ‘quantum’ la valutazione della gravità verrà effettuata in rapporto alla natura dell’infrazione e alla portata lesiva della medesima, tenendo ovviamente anche conto delle circostanze individuate tra quelle tassativamente elencate dalla norma.

F. La norma prevede inoltre che se il vantaggio ottenuto dall'autore della violazione come conseguenza della violazione stessa fosse superiore ai massimali indicati, le sanzioni pecuniarie dovranno essere elevate sino al doppio dell'ammontare del vantaggio ottenuto, purché tale ammontare sia determinabile, e se il soggetto con un’azione od omissione viola diverse disposizioni o commette più violazioni della stessa disposizione, si applica la sanzione prevista per la violazione più grave, aumentata fino al triplo.

G. Nel pregresso, le principali criticità riscontrate dall’Ufficio Vigilanza sono rappresentata da:

• Il mancato rispetto delle norme in materia di trasparenza nel rapporto di mediazione creditizia (con particolare riferimento alla mancata comunicazione all’intermediario erogante del compenso di mediazione al fine della sua inclusione nel calcolo del TAEG);
• La distribuzione di prodotti assicurativi standardizzati, non strettamente tarati sull’esigenza della clientela;
• L’utilizzo, per il contatto con il pubblico, di soggetti non iscritti negli Elenchi tenuti dall'Organismo né segnalati da iscritti come loro collaboratori;
• L’esercizio di attività per conto di intermediari finanziari/consorzi non abilitati al rilascio del prodotto finanziario “fidejussioni e garanzie”. Su questo fenomeno, particolarmente pericoloso per chi acquista il prodotto nei fatti privo di efficacia, sono state effettuate 158 attività di controllo che hanno portato all’avvio di 55 procedure sanzionatorie e a 21 esposti presso le competenti autorità giudiziarie.

8. La struttura organizzativa - introduzione

9. Il governo societario e i soggetti preposti ai controlli

A. Premessa

Nella società di mediazione creditizia, intervengono due funzioni che hanno compiti direttamente connessi con il sistema dei controlli interni:

• La funzione di gestione;
• La funzione di controllo.

B. La funzione di gestione

LA FUNZIONE DI GESTIONE è demandata all’organo aziendale o i componenti di esso a cui, ai sensi del Codice Civile o per disposizioni statutarie, spettano compiti di gestione corrente.

C. La funzione di controllo

La FUNZIONE DI CONTROLLO, ove esistente, è rappresentato da:

1. Collegio sindacale o, Sindaco unico o
2. Revisore, nel rispetto delle attribuzioni degli altri organi e collaborando con essi.

La funzione di controllo ha la responsabilità di vigilare sulla completezza, adeguatezza, funzionalità e affidabilità del sistema dei controlli interni.

D. Il responsabile del controllo

Il D.M. 31/2014 all’art. 3 titolato “responsabile del controllo” dispone che: “Per verificare l'osservanza delle norme di legge, regolamentari e statutarie applicabili all’attività svolta l’organo di controllo nominato ai sensi di legge (rappresentato dal collegio sindacale, sindaco unico o revisore) si avvale del sistema di controllo interno previsto dall'articolo 4”. L’ OAM dispone al punto 2 “… anche la società di ridotte dimensioni devono individuare un responsabile dei controlli interni che, ai sensi dell’art. 3 del regolamento ove istituito può coincidere con l’organo di controllo nominato ai sensi di legge che si avvale del sistema di controllo interno.

10.2 Le finalità del sistema dei controlli interni

A. La finalità del SCI per i Mediatori creditizi è altresì individuata al comma 2 dell’art. 4, del Regolamento, il quale “il sistema assicura:

1. Un’efficace gestione e controllo dei rischi derivanti dall’inosservanza e dal mancato adeguamento alle norme di legge, regolamentari e statutarie applicabili all’attività svolta a cui la società è esposta anche in relazione alla rete di soggetti che operano per suo conto;
2. La riservatezza e l’integrità delle informazioni e l’affidabilità e sicurezza delle procedure per il loro trattamento;
3. La verifica della conformità dell’attività svolta con norme di legge, regolamentari e statutarie ad essa applicabili e con le procedure interne che la società ha definito per osservarle”

B. Un sistema dei controlli idoneo è inoltre finalizzato a tutelare il consumatore al corretto funzionamento del mercato nell’intermediazione creditizia, strettamente correlata al contenimento dei rischi operativi, legali e reputazionali, ai quali gli operatori devono far fronte mediante adeguati sistemi di presidio dell’attività svolta.

C. Le linee guida dell’OAM precisano che il sistema dei controlli interni consta funzioni, regole e procedure atte a mappare, prevenire e gestire i rischi legali, reputazionali ed operativi connessi all’esercizio di attività esercitata. A tal fine, è necessario che:

1. Le funzioni di controllo siano correttamente implementate dalla società, conformemente con quanto indicato nei successivi paragrafi;
2. Le regole e le procedure di controllo siano puntualmente declinate dalle funzioni competenti ed effettivamente recepite da ciascun livello della realtà aziendale;
3. Il sistema dei controlli sia, nel suo complesso, proporzionato alle specifiche caratteristiche organizzative, dimensionali ed operative della realtà aziendale.

D. L’OAM, nella qualità di organo di vigilanza delle società di mediazione ha quindi emanato disposizioni specifiche sul controllo interno, per cui:

1. Le società di mediazione creditizia con un numero di dipendenti o collaboratori superiori a 20 sono tenute a costituire una funzione di controllo interno come disciplinato dall’art. 7 del decreto n°31/2014. Le linee guida concernenti il contenuto dei requisiti organizzativi per l’esecuzione nell’elenco dei mediatori creditizi sono e quindi implementate al 31.12.2021.

A. Premessa

Le linee guida integrate, operative dal 1.1.2022, tracciano una più marcata separazione tra mediatori “dimensionati” e mediatori “meno dimensionati”. Per cui ai mediatori dimensionati viene associata una progressione di attività e funzioni su vari livelli mentre al mediatore meno dimensionato il regolamento impone soltanto la formalizzazione di procedure e regole con l’adozione di una relazione illustrativa dei controlli e la nomina di un responsabile dei controlli.

B. I livelli dimensionali

L’OAM, quindi ha rivisitato l’intera struttura delle Linee Guida, anzitutto per distinguere le previsioni stabilite in capo ai Mediatori di rilevanti dimensioni da quelle, invece, applicabili ai Mediatori che sono caratterizzati da una minore complessità dimensionale, operativa e organizzativa. L’OAM ha inoltre precisato che cosa si intende per controlli di primo, di secondo e di terzo livello, delineando i principali contenuti di ciascun controllo. La progressione di attività e funzioni su vari livelli interessa essenzialmente i Mediatori più strutturati.

C. Le società di ridotte dimensioni

A. Il sistema dei controlli interni del Mediatore Creditizio si fonda anzitutto sul principio di proporzionalità, per cui, in base alle caratteristiche organizzative, dimensionali ed operative della singola società, la medesima sarà tenuta all’adempimento di specifici obblighi, nei termini di seguito esposti. I Mediatori creditizi di “minori dimensioni” e caratterizzati da “minore complessità operativa e organizzativa” non sono tenuti alla creazione di vere e proprie “funzioni” aziendali dedicate ai singoli livelli di controllo, essendo per questi sufficiente la predisposizione di un sistema di controllo interno inteso come insieme di “procedure, regole, protocolli”, di cui sia data comunque apposita evidenza nella Relazione sui Requisiti organizzativi di cui al Paragrafo 5.

B. Tali società – seppure sotto forma di procedure e, come detto, non di funzioni – devono comunque garantire un controllo di primo e secondo livello, così come descritti nei paragrafi successivi. Inoltre, anche le stesse società di ridotte dimensioni devono individuare un Responsabile dei controlli interni che – ai sensi dell’art. 3 del Regolamento –, ove istituito, può coincidere con “l’organo di controllo nominato ai sensi di legge che si avvale del sistema di controllo interno”.

C. Da quanto precede, discende la centralità conferita dal Regolamento all’organo di controllo (i.e., sindaci/ revisori o consiglio di sorveglianza), ponendolo come soggetto che si avvale del SCI per lo svolgimento delle attività di competenza: pertanto, qualora il sistema di Governance della singola società preveda la costituzione del collegio sindacale, di revisori o di organi equivalenti, questi ultimi assumeranno il ruolo di responsabili dello SCI e si avvarranno di questo per assicurare il funzionamento complessivo dei controlli.

D. Le società di maggiori dimensioni

A. La società di mediazione creditizia di maggiori dimensioni, ossia quelle che superano il numero di 20 collaboratori o che risultino in ogni caso connotate da una significativa complessità organizzativa data da un esteso ambito territoriale di operatività anche in ragione dell’utilizzo dello strumento informatico, devono invece adottare tutti e tre i livelli di controllo, individuando e nominando le rispettive funzioni deputate a presidiarli per quanto riguarda i controlli di secondo e terzo livello.

B. In particolare, i soggetti incaricati delle funzioni di controllo di secondo e terzo livello devono essere formalmente nominati e le relative nomine (corredate da data e firma) conservate agli atti.

C. Infine, tutte le società devono redigere una Relazione sui requisiti organizzativi, i cui contenuti minimi sono illustrati al Paragrafo 5 del presente documento e predisporre controlli sulla propria rete di collaboratori, secondo quanto previsto al Paragrafo 4.

10.4 Il SCI - Le incompatibilità tra le funzioni dei diversi livelli

A. Separazione delle funzioni

Le funzioni preposte a tali controlli sono distinte da quelle produttive. Le funzioni di controllo dei rischi esse concorrono alla definizione delle politiche di governo dei rischi e del processo di gestione dei rischi. In tale ottica, deve essere assicurata la necessaria separatezza tra le funzioni operative e quelle di controllo.
Alla luce di quanto rappresentato, la funzione di controllo di secondo livello non può essere attribuita a soggetti che risultano comunicati quali collaboratori a contatto il pubblico o che, pur non risultando tali, gestiscono la rete operativa in ragione di funzioni manageriali, comunque correlate all’ambito commerciale.
Resta fermo che – nelle società caratterizzate da minore complessità operativa, dimensionale e organizzativa – in ragione del principio di proporzionalità è consentito adottare procedure di controllo che prevedano di affidare il presidio in capo a soggetti con funzioni manageriali, purché questi ultimi non svolgano - in alcun modo - funzioni commerciali a contatto con la clientela.

B. Le incompatibilità

La funzione di controllo di secondo livello è incompatibile con la funzione di Internal audit, è con quella di referente interno della medesima funzione, ove esternalizzata.
Fermo quanto sopra delineato per le singole funzioni e in applicazione del principio di proporzionalità, le funzioni di controllo di secondo livello (Compliance, Risk management e antiriciclaggio) – e di terzo livello (Internal audit) – non possono essere attribuite a soggetti collaboratori comunicati come tali che sono a contatto il pubblico o che, pur non risultando tali, gestiscono la rete operativa in ragione di funzioni manageriali, ovvero correlate all’ambito commerciale.
Si rappresenta altresì che nel rispetto del principio di proporzionalità, in assenza dell’organo di controllo, e contestualmente organo di gestione collegiale, la responsabilità dei controlli “di terzo livello” può essere affidata ad un componente dell’organo amministrativo, purché non esecutivo il quale deve essere diverso dal soggetto a cui viene affidata la responsabilità dei controlli di secondo livello.
La funzione di revisione interna (Internal audit) – e il correlato referente interno responsabile sono incompatibili con la funzione di controllo di secondo livello. A sua volta, il controllo di secondo livello deve necessariamente affiancarsi al primo, con conseguente incompatibilità tra gli incaricati dei diversi controlli, salvo quanto inizialmente specificato per le società di minori dimensioni.
Nelle società in cui vi è l’amministratore unico, il responsabile dei controlli di terzo livello non potrà essere – nel rispetto del principio di indipendenza – lo stesso amministratore ma potrà investire eventualmente il ruolo di referente interno della funzione esternalizzata.

10.5 Il SCI - I Controlli di I livello - I controlli di linea

A. Il controllo di “primo livello”, cosiddetto “di linea”, è costituito dalle attività svolte dalla società direttamente sull’operato della propria rete distributiva, al fine di assicurare il corretto e conforme svolgimento dell’attività di cui all’art. 128-sexies del TUB, anche mediante la verifica della completezza e dell’idoneità dei documenti che compongono i fascicoli delle pratiche intermediate. Tale controllo è quindi effettuato dalle stesse strutture operative (ad es., controlli di tipo gerarchico, sistematici e a campione), anche attraverso unità dedicate esclusivamente a compiti di controllo che riportano ai responsabili delle strutture stesse, ovvero eseguito nell’ambito del back office; per quanto possibile, esso è recepito anche nelle procedure informatiche.

B. Le strutture operative sono quindi le prime responsabili del processo di gestione dei rischi: nell’ambito della fase operativa della società, devono identificare, misurare o valutare, monitorare, attenuare e segnalare ai responsabili delle altre funzioni di controllo, la presenza di rischi all’interno dei processi aziendali o derivanti dall’ordinaria attività, in conformità con il processo di gestione dei medesimi; esse devono rispettare i limiti operativi loro assegnati, coerentemente con gli obiettivi e con le procedure in cui si articola il processo di gestione dei rischi.

C. Concomitatamene ai fini dello svolgimento dei controlli di linea, le società di mediazione possono avvalersi dell’ausilio di sistemi informatici integrati nelle proprie procedure che impongano meccanismi “bloccanti” del processo di lavorazione, laddove rilevino l’assenza di documenti necessari o rilevanti. Si precisa che tali sistemi, non possono, da soli, garantire il pieno ed effettivo svolgimento della funzione, la quale richiede - in ogni caso - dettagliati e specifici controlli sul contenuto delle singole pratiche intermediate dalla rete distributiva nonché sulla completezza e sull’idoneità dei documenti che compongono le stesse.

D. Si aggiunge altresì che, affinché l’azione di controllo possa risultare effettiva e in grado di prevenire i rischi, è necessario che le descritte attività di verifica avvengano in maniera contestuale alla lavorazione delle pratiche o che - comunque - siano preventive rispetto al momento del perfezionamento delle stesse.

10.6 Il SCI - I controlli di II livello – i controlli dei rischi

A. Premessa

Fermo quanto previsto per il primo livello dei controlli, tutte le società di mediazione creditizia hanno altresì l’obbligo di attuare anche forme di controllo di “secondo livello”. Tali controlli sono identificati in quelli di “conformità alla normativa di settore (Compliance)” e di controllo dei “rischi (Risk management)” legali, operativi e reputazionali, le quali si aggiungono alla “funzione antiriciclaggio”, già prevista come obbligatoria per i Mediatori creditizi dalla normativa sul tema e – anch’essa – da considerarsi rientrante tra i controlli aziendali di secondo livello.

B. Obiettivi dei controlli di secondo livello

I controlli di secondo livello hanno quindi l’obiettivo di assicurare:

1. La corretta attuazione del processo di gestione dei rischi, anche con riguardo all'adozione di idonee procedure per la prevenzione e contrasto dei fenomeni di riciclaggio e finanziamento del terrorismo;
2. Il rispetto dei limiti operativi assegnati alle varie funzioni;
3. La conformità dell’operatività aziendale alla normativa, inclusa quella di autoregolamentazione, oltre all’effettività, la correttezza e la conformità dei controlli di primo livello.

C. Controlli di conformità alla normativa di settore del mediatore creditizio (Compliance)

1. Le verifiche di conformità alle norme permettono di valutare il rischio di incorrere in sanzioni giudiziarie o amministrative, in perdite finanziarie rilevanti o danni di reputazione, in conseguenza di violazioni di norme imperative (leggi, regolamenti) ovvero di autoregolamentazione (ad es., linee guida, codici di condotta, circolari, etc.).
2. La funzione di conformità alle norme presiede, secondo un approccio Risk-based, alla gestione del rischio di non conformità con riguardo a tutta l’attività aziendale, verificando che le procedure interne siano adeguate a prevenire tale rischio.
3. A tal fine, è necessario che la funzione di conformità alle norme abbia accesso a tutte le attività del Mediatore e a qualsiasi informazione a tal fine rilevante, anche attraverso colloquio diretto con il personale.
4. I principali adempimenti che la funzione di “conformità alle norme” è chiamata a svolgere sono:

a) La mappatura – adeguatamente documentata e argomentata – dei rischi tipici dell’attività riservata, nonché di quelli derivanti dall’offerta contestuale - accanto a un prodotto creditizio - di altri prodotti o servizi;
b) L’ausilio alle strutture aziendali per la definizione delle metodologie di valutazione dei rischi di non conformità alle norme;
c) L’individuazione di idonee procedure per la prevenzione del rischio rilevato, con possibilità di richiederne l’adozione;
d) La verifica della loro adeguatezza e corretta applicazione;
e) L’identificazione – nel continuo – delle norme applicabili e la misurazione/valutazione del loro impatto su processi e procedure aziendali;
f) La proposta di modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio dei rischi di non conformità identificati;
g) La predisposizione di flussi informativi diretti agli organi aziendali e alle strutture coinvolte (ad es.: gestione del rischio operativo e revisione interna);
h) La verifica dell’efficacia degli adeguamenti organizzativi (strutture, processi, procedure anche operative e commerciali) suggeriti per la prevenzione del rischio di non conformità alle norme.

D. Il controllo dei rischi della gestione del mediatore creditizio (Risk management)

Come riportato al punto 10 B le precedenti strutture operative devono identificare, misurare o valutare, monitorare attenuare e segnalare ai responsabili delle funzioni di controllo (Risk Management) la presenza dei rischi. Le linee guida richiamano per quanto concerne i rischi connessi al mediatore creditizio i rischi legali, operativi e reputazionali. Per quanto concerne la definizione di detti rischi si richiamano le definizioni riportate nella circolare 263/2006 della Banca d’Italia sempre richiamate in premessa:

1. Il rischio legale e il rischio di perdite derivanti da violazioni di legge o regolamenti, da responsabilità contrattuali o extracontrattuale ovvero da altre controversie;
2. Il rischio operativo è il rischio di perdite derivanti da eventi di natura operativa rilevanti nella contabilità aziendale e tali da avere un impatto nel conto economico;
3. Il rischio reputazionale è il rischio attuale e prospettico di flessione degli utili o del capitale derivante da una percezione negativa dell’immagine dell’azienda da parte di clienti, controparti, azionisti, autorità di vigilanza (definizione di Banca d’Italia).

E. Programma di attività e modalità di esecuzione dei controlli

1. Le funzioni di conformità alle norme e di controllo dei rischi presentano annualmente agli organi aziendali un programma di attività, in cui sono identificati e valutati i principali rischi a cui il Mediatore creditizio è esposto e nel quale sono programmati i relativi interventi di gestione. La programmazione degli interventi tiene conto sia delle eventuali carenze emerse nei controlli, sia di eventuali nuovi rischi identificati.
2. I suddetti controlli devono risultare compiutamente descritti nella Relazione sui requisiti organizzativi, correttamente implementati e seguiti da monitoraggi periodici – opportunamente documentati – che garantiscano concreta ed effettiva attuazione, da parte della società, dei presidi descritti.

Il Regolamento nell’art. 4, comma 3, prevede che “nelle società che superino i limiti dimensionali stabiliti dall'Organismo con riferimento al numero di dipendenti o collaboratori, è costituita una funzione di controllo interno cui è affidata la valutazione periodica del sistema di controllo interno e la verifica della correttezza e regolarità dell’operatività aziendale”.
Ai sensi del successivo art. 7, “fino a quando i limiti dimensionali previsti dall’articolo 4, comma 3, non sono individuati dall’Organismo, le società con un numero di dipendenti o collaboratori superiore a 20 sono tenute a costituire la funzione di controllo interno”.
Nello specifico, la funzione di controllo interno è identificata con la funzione aziendale di controllo di terzo livello, ovvero la c.d. “funzione di revisione interna” (Internal audit).
La revisione interna è volta ad individuare violazioni delle procedure e della regolamentazione, nonché a valutare periodicamente la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia) e l’affidabilità del sistema dei controlli interni e del sistema informativo, con cadenza prefissata in relazione alla natura e all’intensità dei rischi della singola realtà aziendale.

In tale ambito, coerentemente con il piano di audit, la funzione di revisione interna:

1. Sottopone a verifica le funzioni aziendali di controllo dei rischi e di conformità alle norme;
2. Valuta l’efficacia del processo di definizione del rischio;
3. Verifica, anche attraverso accertamenti di natura ispettiva:

a) La regolarità delle diverse attività aziendali, incluse quelle esternalizzate, e l’evoluzione dei rischi. La frequenza delle ispezioni è coerente con l’attività svolta e la propensione al rischio; tuttavia, sono condotti anche accertamenti ispettivi casuali e non preannunciati;
b) Il monitoraggio della conformità alle norme dell’attività di tutti i livelli aziendali;
c) Il rispetto, nei diversi settori operativi, dei limiti previsti dai meccanismi di delega; e il pieno e corretto utilizzo delle informazioni disponibili nelle diverse attività;
d) L’adeguatezza e il corretto funzionamento dei processi e delle metodologie di adeguatezza, affidabilità complessiva e la sicurezza del sistema informatico (“ICT audit”), ove presente;
e) La rimozione delle anomalie riscontrate nell’operatività e nel funzionamento dei controlli (attività di “follow-up”);
f) L’espletamento dei compiti d'accertamento, anche con riguardo a specifiche irregolarità.

La funzione di revisione interna è coerente con l’articolazione ed il grado di complessità della società di mediazione a prescindere dalle scelte organizzative e fermo restando che i destinatari delle comunicazioni delle attività di verifica sono gli organi aziendali e le unità sottoposte a controllo, nella regolamentazione interna dell’azienda deve essere espressamene previsto il potere – per la funzione di revisione interna – di comunicare, in via diretta, i risultati degli accertamenti e delle valutazioni agli organi aziendali.
Gli esiti degli accertamenti conclusi con giudizi negativi o che evidenzino carenze di rilievo sono trasmessi integralmente, tempestivamente e direttamente agli organi aziendali. Per svolgere adeguatamente i propri compiti, la funzione di revisione interna ha accesso a tutte le attività, comprese quelle esternalizzate, svolte sia presso gli uffici centrali sia presso le strutture periferiche del Mediatore.

Per le società aventi più di 20 dipendenti o collaboratori o rilevante complessità organizzativa e operativa, dovrà quindi essere costituita una vera e propria funzione di controllo interno. Sempre in relazione al principio di proporzionalità, ciascun Mediatore creditizio deve tenere in debita considerazione che il mero dato numerico dei collaboratori a contatto con il pubblico, laddove non superiore a 20 unità, non può - di per sé solo - consentire controlli meno articolati. A tal proposito occorre, infatti, valutare anche – a titolo esemplificativo – la tipologia dei prodotti intermediati nonché la struttura organizzativa nel suo complesso ivi compresa la ramificazione territoriale, tenendo altresì presente gli strumenti informatici utilizzati, in grado di consentire il raggiungimento di una più ampia platea di consumatori.
Sul punto, il principio di neutralità tecnologica e la tutela della concorrenza tra operatori impongono, infatti, l’applicabilità di analoga disciplina tra i Mediatori operanti tramite il canale “fisico” e i Mediatori che svolgono la propria attività mediante canale “digitale” o, comunque, con altre modalità che consentano di operare su vaste aree territoriali senza l’ausilio di una sostanziosa rete fisica di collaboratori. Pertanto, anche i Mediatori creditizi che vantano un numero di collaboratori a contatto con il pubblico inferiore alle venti unità devono comunque dotarsi di una funzione di terzo livello laddove la struttura organizzativa ed operativa della società consenta alla stessa il raggiungimento – anche da remoto – di un’ampia platea di potenziali clienti e la ramificazione dell’offerta su vaste aree territoriali, rese possibili attraverso l'operatività informatica o altre modalità operative di sorta.

Alla luce di quanto stabilito precedentemente il responsabile dell’Internal audit dovrà:

a. Possedere requisiti di professionalità e indipendenza adeguati;
b. Essere collocato alle dirette dipendenze dell’organo con funzione di gestione;
c. Essere nominato o revocato dall’organo con funzione di gestione, sentito l’organo con funzione di controllo (se esistente);
d. Riferire direttamente agli organi con funzione di gestione, e di controllo (se esistente);
e. Non svolgere mansioni operative.

In coerenza con il principio di proporzionalità, tale ultimo soggetto potrà, eventualmente, identificarsi in un componente dell’organo con funzioni di gestione, e quindi del consiglio di amministrazione purché destinatario di specifiche deleghe in materia di controlli e non destinatario di altre deleghe che ne pregiudichino l’autonomia.

Nelle società con organo di gestione monocratico (amministratore unico), il responsabile dei controlli di terzo livello non potrà coincidere con l’amministratore medesimo, e quindi, solo per le aziende di piccole dimensioni, potrà essere individuato come referente.

10.8 Il SCI – l’esternalizzazione delle funzioni Le Funzioni aziendali di controllo di II e III livello

L’art. 4, comma 3, del Regolamento prevede che “la funzione (di controllo interno) può essere affidata a soggetti esterni dotati di idonei requisiti in termini di professionalità, autorevolezza e indipendenza; resta ferma la responsabilità dell'organo previsto dall'articolo 3 e della società per il corretto svolgimento della funzione esternalizzata”.
Il Regolamento prevede espressamente la possibilità di esternalizzazione la sola funzione di Internal audit, ma in attuazione del principio di proporzionalità, i Mediatori creditizi possono esternalizzare tutte le attività di controllo costituenti SCI e quindi le funzioni di controllo di secondo livello rappresentate dalle funzioni di Compliance, Risk management e per astensione applicativa anche quelle del responsabile antiriciclaggio.
Lo svolgimento della funzione può essere affidato a soggetti esterni dotati di idonei requisiti in termini di professionalità, autorevolezza e indipendenza.
L’esternalizzazione delle funzioni di controllo (dei rischi) deve essere formalizzata in un accordo che definisca quanto meno:

a) Gli obiettivi da perseguire indicati compiutamente;
b) La frequenza minima dei flussi informativi nei confronti del referente interno e degli organi di vertice e di controllo aziendali, fermo restando l’obbligo di corrispondere tempestivamente a qualsiasi richiesta di informazioni;
c) Gli obblighi di riservatezza delle informazioni acquisite nell’esercizio della funzione;
d) La possibilità di rivedere le condizioni del servizio al verificarsi di modifiche normative o nell’operatività e nell’organizzazione dell’impresa esternalizzante;
e) La possibilità per le Autorità di Vigilanza di accedere alle informazioni utili per l’attività di supervisione e controllo.

L’organo di controllo o in sua in assenza, l’organo di gestione della società continua ad essere investito per la responsabilità del corretto svolgimento della funzione esternalizzata.
Ne deriva che, per ciascuna attività o funzione di controllo esternalizzata, deve essere nominato uno specifico referente, il quale è opportuno che possieda – ai fini dell’efficace svolgimento dei propri compiti – gli stessi requisiti richiesti per i responsabili delle funzioni di Internal audit.
Il compito del referente è di controllare che il lavoro svolto dalla funzione esternalizzata sia conforme e lo stesso referente rappresenta un punto di riferimento della funzione esternalizzata, non potendo costituire mero ruolo formale di raccordo con la società. Il referente interno, infatti, è a tutti gli effetti un incaricato della funzione di controllo; egli ha il precipuo incarico di verificare se il controllore esterno operi in modo adeguato e funzionale rispetto ai compiti demandategli dalla società.

Per l’eventuale esternalizzazione di più funzioni o attività di secondo livello deve essere nominato un unico referente; diversamente, per l’esternalizzazione della funzione di Internal audit in quanto di terzo livello, il referente interno è diverso dal referente eventualmente nominati per le funzioni o attività di controllo di secondo livello.

A. La società di mediazione creditizia risponde, in solido, dei danni causati nell’esercizio dell’attività dai propri dipendenti e collaboratori, anche in relazione a condotte penalmente sanzionate.

Articolo 128-novies, c.4

Omissis …. i mediatori creditizi assicurano e verificano, anche attraverso l’adozione di adeguate procedure interne, che i propri dipendenti e collaboratori di cui si avvalgono per il contatto con il pubblico, rispettino le norme loro applicabili, possiedano i requisiti di onorabilità e professionalità indicati all’articolo 128-quinquies, lettera c), ad esclusione del superamento dell’apposito esame e all’articolo 128-septies, lettere d) ed e), ad esclusione del superamento dell’apposito esame, e curino l’aggiornamento professionale. Tali soggetti sono comunque tenuti a superare una prova valutativa i cui contenuti sono stabiliti dall’Organismo di cui all’articolo 128-undecies.

Articolo 128-novies, c.1

B. La società di mediazione deve definire il processo di selezione, gestione e controllo dei dipendenti e implementare soluzioni organizzative per gestire i rischi, nel rispetto del principio di proporzionalità alla complessità organizzativa, dimensionale ed operativa.
Le procedure incardinate nel il sistema di controllo interno devono quindi prevedere precise regole di controllo ex ante e monitoraggio ex post anche nei confronti del personale dipendente dipendenti nonché dei collaboratori.

In questo senso l’art. 5, commi 1, 2 e 3, del Regolamento, dispone che “le società di mediazione creditizia applicano rigorose procedure di selezione dei propri dipendenti e collaboratori, acquisendo e conservando la documentazione probatoria dei requisiti posseduti.

11.2 I controlli di primo livello inerenti ai dipendenti e collaboratori

A. Premessa

Ai sensi dell’art. 5, commi 1, 2 e 3, del Regolamento, e come suddetto:

• Definisce rigorose procedure di selezione di dipendenti e collaboratori acquisendo e conservando la documentazione probatoria dei requisiti dagli stessi posseduti (onorabilità, professionalità e obbligo di aggiornamento professionale);

• Il SCI può quindi prevedere la selezione di collaboratori e dipendenti ma deve tenere in considerazione eventuali elementi di anomalia e/o criticità tra cui possono figurare, a mero titolo esemplificativo, quelli che possono derivare dalle attività riconducibili alla soddisfazione della clientela ovvero all’esecuzione di attività pregiudizievoli nei confronti del pubblico (quanto precede, in aggiunta al necessario possesso dei requisiti di professionalità e onorabilità previsti ex lege).

B. Obiettivi

Il regolamento in base all’art. 5, commi 1, 2 e 3:

• Assicura che il personale dipendente e i collaboratori siano adeguatamente informati con riferimento alla normativa loro applicabile (in particolare, per quanto di competenza, trasparenza e di correttezza delle relazioni con la clientela nonché gli obblighi di aggiornamento professionale);

• Definisce procedure di verifica della correttezza del loro operato anche attraverso: a. apposite indagini sul grado di soddisfazione della clientela; b. periodici accessi ispettivi, effettuati annualmente su almeno un quinto dei collaboratori a contatto con il pubblico;

• Identifica le misure attivabili in caso di anomalie e di non corretto svolgimento delle attività da parte dei dipendenti e collaboratori medesimi.

• Le società di mediazione verificano la correttezza dell’operato dei propri dipendenti e collaboratori anche attraverso apposite indagini sul grado di soddisfazione della clientela e periodici accessi ispettivi; questi ultimi devono essere effettuati annualmente su almeno un quinto dei collaboratori esterni. In caso di anomalie, le società adottano prontamente adeguate misure.

11.3 I controlli di secondo livello per i dipendenti e collaboratori

A CONTROLLI DI SECONDO LIVELLO

I controlli di secondo livello, pertanto devono essere estesi anche nei riguardi dei dipendenti e collaboratori che entrano in contatto con il pubblico e di cui il mediatore si avvale per lo svolgimento della sua attività.

B CONTROLLI DI TERZO LIVELLO

1. L’esecuzione della revisione interna è finalizzata ad individuare violazioni delle procedure e della regolamentazione, e quindi a valutare periodicamente la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia) e l’affidabilità del sistema dei controlli interni e del sistema informativo, con cadenza prefissata in relazione alla natura e all’intensità dei rischi della specifica società di mediazione creditizia. Fermo quanto sopra, occorre ribadire che è onere della società di mediazione creditizia assicurare che i collaboratori e dipendenti si pongano in posizione collaborativa rispetto alle predette finalità.

2. Le società di mediazione assicurano – anche attraverso la previsione di apposite clausole contrattuali disciplinanti il rapporto con i propri dipendenti e collaboratori a contatto con il pubblico – che questi ultimi mettano tempestivamente a disposizione delle stesse i documenti e le informazioni richieste dall’Organismo nell'ambito di una specifica attività di vigilanza, condotta ai sensi degli artt. 128-novies, 128-undecies, comma 4 del TUB e 21, comma 2, del D.lgs. 141/2010.

3. In conformità con le Disposizioni sulla Trasparenza delle operazioni e dei servizi bancari e finanziari emanate dalla Banca d’Italia (Sezione VIII, paragrafo 2), i Mediatori creditizi assicurino, anche attraverso l’adozione di apposite procedure interne, la trasparenza e la correttezza nell’attività di mediazione e nella commercializzazione dei prodotti bancari e finanziari.

4. Attraverso tale ottica, le società di mediazione tengano in massima considerazione quanto previsto delle medesime Disposizioni in merito all’adozione (e l’implementazione NDR) di procedure efficaci e proporzionate relative alla corretta distribuzione dei prodotti di credito, con particolare riferimento all’individuazione dei target market e al monitoraggio circa l’adeguatezza del singolo prodotto all’esigenza del consumatore (Sezione XI, par. 1-bis.2).

12. La conservazione della documentazione

A. Il Regolamento dispone che “le società conservano agli atti la documentazione relativa ai controlli effettuati”.

B. Il termine ultimo relativo al richiamato obbligo di conservazione può essere individuato in dieci (10) anni, così da consentire la verifica dell’effettivo svolgimento dei controlli, di fatto su base quinquennale, previsti dall’art. 5 del Regolamento rispetto all’attività dei dipendenti e collaboratori in quanto le stesse società di mediazione effettuino accessi annualmente su almeno 1/5 di collaboratori esterni.

Il Presidio Antiriciclaggio ha importanza rilevante nelle società di mediazione creditizia in quanto soggetto obbligato del D.lgs. 231/2007 e ss.mm. mira a non essere utilizzata involontariamente come veicolo per perpetrare le operazioni antiriciclaggio e del finanziamento al terrorismo per cui la struttura e finalizzata a ridurre il rischio ad un livello considerato accettabile.
11.1 Requisiti minimi
Requisiti minimali per tutte le società di mediazione creditizia (come anche per gli intermediari) vanno comunque osservati:

1. La previsione della funzione antiriciclaggio e nominato il relativo responsabile; è ammessa l’esternalizzazione e l’attribuzione della responsabilità della funzione ad un amministratore, che, salvo il caso dell’amministratore unico, deve essere privo di deleghe operative;

2. Deve essere formalizzata l’attribuzione della responsabilità per la segnalazione delle operazioni sospette (delegato S.O.S.) che va comunicato all’U.I.F.

13.2 Ruolo degli organi aziendali e dell’organo di controllo

Gli organi aziendali e, quindi l’organo amministrativo e l’organo di controllo ove esistente ciascuno secondo le proprie competenze e responsabilità, mutuando le disposizioni degli altri intermediari finanziari in base al provvedimento del 27/3/2019 ancorché non più inclusi, quindi per analogia, sono tenuti a definire politiche aziendali coerenti con i principi e le regole antiriciclaggio; adottare linee di policy idonee a preservare l’integrità aziendale; porre in atto misure organizzative e operative atte a evitare il rischio di coinvolgimento in episodi di riciclaggio e di finanziamento del terrorismo; svolgere controlli sul rispetto della normativa e sull’adeguato presidio dei rischi. L’articolazione dei compiti e delle responsabilità degli organi aziendali deve essere chiaramente definita.

13.3 I presidi antiriciclaggio e finanziamento al terrorismo AML / CFT

Il mediatore creditizio si dota quindi di un assetto organizzativo, di procedure operative e di sistemi informativi che - tenuto conto della natura, della dimensione e della complessità dell’attività svolta nonché della tipologia e della gamma dei servizi prestati - siano comunque in grado di garantire l’osservanza delle norme di legge e regolamentari previste in materia di prevenzione e contrasto del riciclaggio e del finanziamento del terrorismo.

13.4 Obblighi previsti dalla normativa

A. Premessa

La normative antiriciclaggio per i mediatori creditizi in quanto “soggetto obbligato” poggia su un sistema di obblighi, ispirati ai seguenti tre istituti fondamentali:

1. Adeguata verifica della clientela con la quale si instaurano rapporti o si effettuano operazioni;
2. Conservazione dei documenti di supporto dei rapporti e delle operazioni;
3. Segnalazione delle operazioni sospette(S.O.S.).

B. L’adeguata verifica della clientela

L’adeguata verifica della clientela impone ai mediatori di commisurare (c.d. approccio basato sul rischio) il rigore degli obblighi di identificazione dei clienti al rischio di riciclaggio desumibile dalla natura della controparte, dal tipo di servizio richiesto, dall’area geografica di riferimento.

C. Il principio dell’approccio basato sul rischio

Con l’applicazione dell’approccio basato sul rischio il mediatore creditizio modula l’intensità e l’estensione degli obblighi di adeguata verifica della clientela secondo il grado di rischio di riciclaggio e di finanziamento del terrorismo.

I sistemi valutativi e i processi decisionali adottati devono assicurare coerenza di comportamento all’interno dell’intera struttura aziendale e la tracciabilità delle verifiche svolte e delle valutazioni effettuate, anche al fine di dimostrare alle autorità competenti che le specifiche misure assunte sono adeguate rispetto ai rischi rilevati in concreto.

D. Profilo della clientela

Il mediatore creditizio provvede a definire il profilo di rischio di riciclaggio e di finanziamento del terrorismo attribuibile a ogni cliente, sulla base delle informazioni acquisite e delle analisi effettuate, in particolare, con riferimento a gli elementi di valutazione ivi indicati e a quelli ulteriori che i destinatari ritenga no di adottare. In esito alla profilatura, ciascun cliente è incluso in una delle classi di rischio predefinite dallo stesso mediatore; a ciascuna classe di rischio è associato un coerente livello di profondità ed estensione degli adempimenti agli obblighi previsti dalla normativa di contrasto del riciclaggio e del finanziamento del terrorismo (adeguata verifica e valutazione delle operazioni sospette).

13.5 La funzione antiriciclaggio

A. Premessa

Il mediatore deve dotarsi di una funzione antiriciclaggio precipuamente deputata a prevenire e contrastare la realizzazione di operazioni di riciclaggio e di finanziamento del terrorismo.
I diversi compiti in cui si articola l’attività della funzione possono essere affidati a strutture diverse, già presenti nell’ambito dell’impresa, purché la gestione complessiva del rischio in questione sia ricondotta ad unità mediante la nomina di un responsabile con compiti di coordinamento e di supervisione. La funzione antiriciclaggio può anche essere attribuita alle strutture che svolgono le funzioni di controllo di conformità o di Risk management. Le medesime attribuzioni non possono essere assegnate alla funzione di revisione interna.

B. Compiti della funzione antiriciclaggio (AML/CFT)

La funzione verifica, nel continuo, che le procedure aziendali siano coerenti con l’obiettivo di prevenire e contrastare la violazione di norme di etero regolamentazione (leggi e norme regolamentari) e di autoregolamentazione in materia di riciclaggio e di finanziamento del terrorismo.

C. Il responsabile antiriciclaggio

Il responsabile antiriciclaggio rientra, a tutti gli effetti, nel novero dei responsabili di funzioni aziendali di controllo di secondo livello. La nomina e la revoca sono di competenza dell’organo con funzione di gestione sentito l’organo con funzioni di controllo ove esistente. La funzione può essere attribuita al responsabile della funzione di controllo di conformità ovvero al Risk manager.
La persona incaricata della funzione non deve avere responsabilità dirette di aree operative né deve essere gerarchicamente dipendente da soggetti responsabili di dette aree. Qualora giustificato dalle ridotte dimensioni della società di mediazione creditizia, la responsabilità della funzione può essere attribuita ad un amministratore, (del consiglio di amministrazione cosi configurato) purché privo di deleghe gestionali.

D. L’ esternalizzazione della funzione

In caso di esternalizzazione, la società di mediazione creditizia deve nominare un responsabile interno (referente) alla funzione antiriciclaggio, con il compito di monitorare le modalità di svolgimento del servizio da parte dell’Outsourcer. Il mediatore dovrà inoltre adottare le cautele che sul piano organizzativo sono necessarie a garantire il mantenimento dei poteri d’indirizzo e controllo da parte degli organi aziendali sulla funzione esternalizzata.

13.6 La funzione di revisione interna (ove presente)

In materia di prevenzione e contrasto dell’utilizzo del sistema finanziario per finalità di riciclaggio e di finanziamento del terrorismo, la funzione di revisione interna (ove esistente) verifica in modo continuativo il grado di adeguatezza dell’assetto organizzativo aziendale e la sua conformità rispetto alla disciplina sull’antiriciclaggio e antiterrorismo e vigila sulla funzionalità del complessivo sistema dei controlli interni.

13.7 Specifiche disposizioni correlate agli intermediari finanziari nei confronti dei mediatori

L’intermediario finanziario nel caso di intervento di un mediatore creditizio ed al fine di evitare ridondanze e reiterazioni di attività già svolte, può avvalersi dei dati e informazioni già raccolti dallo stesso mediatore, verificando la correttezza degli adempimenti compiuti per l’identificazione della clientela e controllando che il flusso informativo sia tempestivamente trasmesso ai fini delle registrazioni nell’Archivio Unico Informatico standardizzato. Qualora l’intermediario finanziari accerti gravi inadempimenti o infedeltà da parte del mediatore nell’esecuzione degli obblighi antiriciclaggio interrompe ogni rapporto con il medesimo.
Nell’ambito delle eventuali convenzioni stipulate con mediatori creditizi, da parte dell’intermediario finanziario, la normativa secondaria prevede, anche a pena della risoluzione del rapporto, che lo stesso mediatore creditizio partecipi periodicamente ad adeguate iniziative di formazione ed aggiornamento.
Quanto suddetto rimarca l’importanza altre che l’obbligo della funzione antiriciclaggio all’inizio della società di mediazione creditizia, tale da correre il rischio di essere tagliato fuori dai rapporti come gli intermediari e le banche che rappresentano per definizione gli interlocutori e l’istituzione della società di mediazione creditizia.

14. La trasparenza delle operazioni e delle relazioni

14.1 Parte generale

In merito alla disciplina in tema di trasparenza delle condizioni contrattuali, Banca d'Italia ha emanato il richiamato Provvedimento sulla trasparenza delle operazioni e dei servizi bancari e finanziari correttezza delle relazioni tra intermediari e Clienti che estende ai mediatori quali intermediari del credito le disposizioni in materia di trasparenza contenute nel Titolo VI del Testo Unico bancario.
Le disposizioni di trasparenza della banca d’Italia applicabili ai mediatori creditizi, hanno mutuato, con alcuni aggiustamenti, i principi e le norme previsti per gli altri intermediari. Gli obblighi di natura organizzativa degli intermediari finanziari sono volti ad assicurare la chiarezza della documentazione, la professionalità dei dipendenti che hanno contatti con la clientela, la correttezza dei comportamenti in caso di offerta di contratti accessori. I presidi organizzativi richiesti ai mediatori creditizi; al contempo, la norma si fa garantire una maggiore tutela alla clientela.

14.2 Disposizioni applicative

Si applicano le seguenti disposizione:

a) Quando il mediatore creditizio consiglia al cliente operazioni o servizi di una banca o di un intermediario con cui ha stipulato una convenzione si applicano gli obblighi prescritti per l’offerta fuori sede di tali prodotti in assenza di convenzione, il mediatore creditizio che consiglia al cliente specifici servizi od operazioni è tenuto a consegnargli contestualmente il foglio informativo e, se prevista, la Guida. Il mediatore acquisisce dal cliente un’attestazione dell’avvenuta consegna e la conserva agli atti.

b) Gli obblighi di trasparenza sopra previsti si applicano anche al caso in cui il mediatore creditizio, in conformità dell’articolo 13 del decreto legislativo 141/2010, e successive modificazioni, effettui la raccolta di richieste di finanziamento sottoscritte dai clienti per il successivo inoltro all’intermediario erogante.

c) Quando il mediatore creditizio impiega tecniche di comunicazione a distanza per consigliare al cliente specifici prodotti bancari o finanziari disciplinati dal presente provvedimento o per effettuare la raccolta di richieste di finanziamento, invia al cliente il foglio informativo e, se prevista, la Guida, ovvero l’indirizzo web diretto sul quale possono essere consultati.

d) Requisiti organizzativi dei mediatori creditizi connessi alla trasparenza Le società di mediazione creditizia assicurano, anche attraverso l’adozione di apposite procedure interne, la trasparenza e la correttezza nell’attività di mediazione e nella commercializzazione dei prodotti bancari e finanziari. In tale ambito, sono previsti accorgimenti atti a far sì che:

1. La documentazione informativa sia completa, chiara, accessibile da parte della clientela, utilizzata attivamente da parte dei dipendenti e collaboratori di cui il mediatore creditizio si avvale per il contatto con il pubblico, e adeguatamente pubblicizzata sul sito internet;
2. i dipendenti e i collaboratori di cui il mediatore creditizio si avvale per il contatto con il pubblico: abbiano un’adeguata e aggiornata conoscenza delle regole e delle procedure previste dal presente provvedimento; siano in grado di fornire chiarimenti sulle caratteristiche dei servizi e sui diritti dei clienti, sulla base della documentazione informativa prevista dalle presenti disposizioni e, se necessario, di ulteriori documenti; accertino che i clienti, prima di essere vincolati da un contratto o da una proposta, abbiano avuto modo di valutare adeguatamente la documentazione informativa;
3. Nel caso di offerta contestuale di altri contratti insieme a un finanziamento, sia assicurato il pieno rispetto delle disposizioni previste dalla sezione XI, paragrafo 2-bis, lettere d), e), f) e g).
4. I mediatori creditizi assicurano, anche attraverso l’adozione di procedure interne, una sollecita ed esaustiva trattazione dei reclami della clientela. A questi fini, individuano un responsabile e/o un ufficio apposito.
5. La verifica della conformità dell’attività svolta del mediatore creditizio con le procedure previste è assicurata attraverso il sistema di controllo interno previsto dalle disposizioni del Ministro dell’economia e delle finanze adottate ai sensi dell’articolo 29 del decreto legislativo n. 141/2010 in materia di requisiti organizzativi per le società di mediazione creditizia
6. I mediatori devono “adottare comportamento conforme a criteri di buona fede e correttezza”, fornire alla clientela le informazioni previste “con modalità adeguate alla forma di comunicazione utilizzata, in modo chiaro ed esauriente, e conformarsi alla normativa secondaria di settore.
7. Le società di mediazione tengano in massima considerazione quanto previsto dalla Sezione XI, par. 1-bis.2, delle Disposizioni sulla trasparenza in merito all’adozione di procedure efficaci e proporzionate relative alla corretta distribuzione dei prodotti di credito, con particolare riferimento all’individuazione dei target market e al monitoraggio circa l’adeguatezza del singolo prodotto all’esigenza del consumatore.

15. La relazione sulla relazione sui requisiti organizzativi

A. La normativa di settore impone alle società di mediazione creditizia di predisporre una Relazione che descriva le scelte effettuate e i concreti ed effettivi presidi adottati per rispettare le disposizioni delle Linee Guida e del citato Regolamento, motivandone l’adeguatezza rispetto alla propria complessità organizzativa, dimensionale e operativa

B. L’effettività dei controlli comporta che – a prescindere dal modello teorico dei presidi descritto nella Relazione – a ciascuna funzione e procedura debbano essere assegnati compiti specifici e poteri idonei a consentire il corretto adempimento dell’obbligo di riferire in merito ad irregolarità gestionali o violazioni della normativa, emerse dall’operatività. Inoltre, le funzioni di controllo devono avere caratteristiche di stabilità idonee a preservare la continuità dell’azione di controllo.

C. Alla redazione della Relazione sui requisiti organizzativi devono seguire, inoltre, specifici monitoraggi periodici – opportunamente documentati – che garantiscano concreta ed effettiva attuazione, da parte della società, dei presidi descritti nel documento. Lo svolgimento dell’attività di controllo deve avvenire – da parte di ciascuna funzione – in raccordo e sinergia con tutte le altre funzioni, nei confronti delle quali deve essere previsto un costante scambio di flussi informativi.

D. I responsabili delle funzioni di controllo (funzione di Revisione interna, Risk management, Compliance e Antiriciclaggio) dovranno, altresì, predisporre apposite relazioni annuali ove devono essere dettagliate le attività di controllo svolte e le relative risultanze. Le stesse dovranno essere messe a disposizione dell’OAM in caso di richiesta.

E. Inoltre, “(…) specifica evidenza deve essere data alle procedure adottate per assicurare la corretta applicazione della disciplina in tema di trasparenza e correttezza nei rapporti con la clientela emanata ai sensi del Titolo IV del Testo unico e di ogni altra disposizione vigente su questa materia. La relazione è aggiornata in caso di modifiche organizzative di rilievo ed è presentata all'Organismo su sua richiesta”.

F. La relazione organizzativa contiene, quanto meno:

1. La descrizione delle modalità organizzative adottate per assicurare il rispetto delle disposizioni del Regolamento;
2. La descrizione delle scelte effettuate e dei concreti presidi adottati per rispettare un efficace gestione e controllo del SCI; − in particolare, la descrizione – per ciascuna tipologia di rischio rilevante – dei presidi organizzativi approntati per la loro identificazione, misurazione, valutazione, gestione e controllo;
3. L’indicazione dei presidi, regole e funzionamento della funzione di controllo interno – ove istituita – cui è affidata la valutazione periodica del SCI e la verifica della regolarità e della correttezza dell’operatività aziendale; in caso di funzioni esternalizzate, la descrizione del profilo professionale dell’Outsourcer individuato, l’illustrazione dei presidi organizzativi idonei ad assicurare agli Outsourcer una piena accessibilità a tutte le informazioni utili per la valutazione dei processi e dei rischi nei limiti dei compiti affidati, la descrizione delle modalità e la frequenza con i quali gli organi aziendali verificano l’attività di controllo esternalizzata, l’individuazione del ruolo di referente per le attività esternalizzate, assicurandone l’autonomia e l’indipendenza (si consiglia di allegare anche la formalizzazione dell’accordo redatto ai sensi di quanto previsto al paragrafo relativo all’esternalizzazione delle funzioni aziendali di controllo;
4. La descrizione delle procedure adottate per assicurare la corretta applicazione della disciplina in tema di trasparenza e correttezza nei rapporti con la clientela, e di ogni altra disposizione vigente su questa materia;
5. La definizione della dotazione quali-quantitativa di personale, indicando i responsabili delle funzioni aziendali di controllo e i relativi requisiti di professionalità;
6. La descrizione delle scelte effettuate per garantire il rispetto delle disposizioni riguardanti i controlli sui dipendenti e collaboratori e, in particolare, la descrizione delle modalità di selezione e verifica del possesso e mantenimento dei requisiti di legge.

16. Ruolo dell’organismo di vigilanza (ODV) del sistema di controllo interno della società di mediazione creditizia

A. L’organismo di vigilanza (“ODV”) è un organo introdotto con il D.lgs. n. 231/2001, al quale sono affidati autonomi poteri di iniziativa e di controllo con il compito di vigilare i modelli di organizzazione, gestione e controllo predisposti dall’ente al fine di prevenire i reati societari previsti dal medesimo decreto.

B. Pur esercitando l’ODV una funzione di supervisione diversa rispetto a quelle tipiche dell’organo di controllo e di Internal audit, qualora nominato, per ragioni di economicità organizzativa in linea con il principio di proporzionalità, lo stesso può ricoprire contemporaneamente le funzioni:

a. Dell’Internal audit;
b. Dell’organo di controllo.

L’ipotesi sub a) è condivisa anche da Confindustria nelle “Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ex D.lgs. n. 231/2001”, Paragrafo 2.3. Capitolo III. L’ipotesi sub b) viene espressamente ammessa nel Paragrafo 4, Sezione II, Capitolo 7, Titolo V, delle Nuove Disposizioni (pag.16), nel quale si afferma che “l’organo con funzione di controllo svolge, di norma, le funzioni dell’organismo di vigilanza – eventualmente istituito ai sensi del D.lgs. n. 231/2001, in materia di responsabilità amministrativa degli enti – che vigila sul funzionamento e l’osservanza dei modelli di organizzazione e di gestione di cui si dota la banca per prevenire i reati rilevanti ai fini del medesimo decreto legislativo. Le banche possono affidare tali funzioni a un organismo appositamente istituito dandone adeguata.

17. Le società di maggiori dimensioni che intendono volontariamente consolidarsi strutturalmente in termini di governo societario

A. Premesso che, il regolamento, come precisato dall’O.A.M., «costituisce uno schema minimo e indefettibile cui le società di mediazione, che intendono esercitare tale attività, devono necessariamente conformarsi», le società di maggiori dimensioni possono volontariamente configurarsi con una struttura più solida anche coerenza con le caratteristiche con la circolare 263/2006cui ci si ispirano le stesse linee guida.

B. Questi mediatori creditizi possono definire e implementare l'ORGANO con la FUNZIONE DI SUPERVISIONE STRATEGICA che farà sempre capo al CONSIGLIO DI AMMINISTRAZIONE. L'organo con la funzione di supervisione strategica è l'Organo aziendale a cui, ai sensi del Codice Civile o per disposizioni statutarie, sono attribuite funzioni di indirizzo della gestione dell'impresa, mediante, tra l'altro, esame e delibera in ordine ai piani industriali o finanziari ovvero alle operazioni strategiche.

C. L’Organo con funzione di supervisione strategica allorché previsto

1. Definisce e approva:

a. Modello di business avendo consapevolezza dei rischi cui tale modello espone il mediatore creditizio e comprensione delle modalità attraverso le quali i rischi sono rilevati e valutati;
b. Indirizzi strategici e provvede al loro riesame periodico, in relazione all’evoluzione dell’attività aziendale e del contesto esterno, al fine di assicurarne l’efficacia nel tempo;
c. Gli obiettivi di rischio, la soglia di tolleranza (ove identificata) e le politiche di governo dei rischi;
d. le linee di indirizzo del sistema dei controlli interni, verificando che esso sia coerente con gli indirizzi strategici e la propensione al rischio stabiliti nonché sia in grado di cogliere l’evoluzione dei rischi aziendali e l’interazione tra gli stessi; e. i criteri per individuare le operazioni di maggiore rilievo da sottoporre al vaglio preventivo della funzione di controllo dei rischi al fine di attenuare i rischi operativi e di reputazione della banca e favorire la diffusione di una corretta cultura dei rischi e dei controlli interni , un codice etico cui sono tenuti a uniformarsi i componenti degli organi aziendali e i dipendenti.

2. Approva:

a. La costituzione delle funzioni aziendali di controllo, i relativi compiti e responsabilità, le modalità di coordinamento e collaborazione, i flussi informativi tra tali funzioni e tra queste e gli organi aziendali;
b. Il processo di gestione del rischio e ne valuta la compatibilità con gli indirizzi strategici e le politiche di governo dei rischi;
c. Le politiche e i processi di valutazione delle attività aziendali, e, in particolare, degli strumenti finanziari, verificandone la costante adeguatezza;
d. Il processo per lo sviluppo e la convalida dei sistemi interni di misurazione dei rischi e ne valuta periodicamente il corretto funzionamento;
e. Il processo per l’approvazione di nuovi prodotti e servizi, l’avvio di nuove attività, l’inserimento in nuovi mercati
f. La politica aziendale in materia di esternalizzazione di funzioni aziendali
g. Al fine di attenuare i rischi operativi e di reputazione e favorire la diffusione di una corretta cultura dei rischi e dei controlli interni, un codice etico cui sono tenuti a uniformarsi i componenti degli organi aziendali e i dipendenti. Il codice definisce i principi di condotta (ad es., regole deontologiche e regole da osservare nei rapporti con i clienti) a cui deve essere improntata l’attività aziendale;
h. I sistemi interni di segnalazione delle violazioni,

D. L’ Organo con funzione di gestione. L’Organo con funzione di gestione ha la comprensione di tutti i rischi aziendali, e, delle loro interrelazioni reciproche e con l’evoluzione del contesto esterno. Tale organo cura l’attuazione degli indirizzi strategici, e delle politiche di governo dei rischi definiti dall’organo con funzione di supervisione strategica ed è responsabile del sistema dei controlli interni ai principi e requisiti monitorandone nel continuo il rispetto.

In particolare, l’Organo con funzione di gestione

1. Definisce e cura l’attuazione del processo di gestione dei rischi. In tale ambito:

• Stabilisce limiti operativi all’assunzione delle varie tipologie di rischio, coerenti con la propensione al rischio,
• Agevola lo sviluppo e la diffusione a tutti i livelli di una cultura del rischio integrata in relazione alle diverse tipologie di rischi. In particolare, sono sviluppati e attuati programmi di formazione per sensibilizzare i dipendenti in merito alle responsabilità in materia di rischi.
• Stabilisce le responsabilità delle strutture e delle funzioni aziendali coinvolte nel processo di gestione dei rischi, in modo che siano chiaramente attribuiti i relativi compiti e siano prevenuti potenziali conflitti d’interessi;
• L’attuazione del processo (responsabili, procedure) per approvare la distribuzione di nuovi prodotti o servizi ovvero l’avvio di nuove attività o l’ingresso in nuovi mercati. Il processo:

a. Identifica in modo chiaro le condizioni per la sua applicazione (anche attraverso la definizione di nuovi prodotti / servizi / cambiamenti significativi), in modo da assicurare il corretto coinvolgimento delle funzioni interessate;
b. Assicura il rispetto della normativa applicabile e che prima dell’approvazione siano pienamente valutati – anche con il coinvolgimento della funzione di controllo dei rischi e della funzione di conformità – i rischi derivanti dalla nuova operatività, che detti rischi siano coerenti con la propensione al rischio e che la banca sia in grado di gestirli;
c. Definisce le fasce di clientela a cui si intendono distribuire nuovi prodotti o servizi in relazione alla complessità degli stessi e a eventuali vincoli normativi esistenti;
d. Individua le strutture e/o il personale responsabili e le eventuali modifiche da apportare all’organizzazione e al sistema dei controlli interni;

2. Definisce e cura l’attuazione della politica aziendale in materia di esternalizzazione di funzioni aziendali

3. Definisce i flussi informativi interni volti ad assicurare agli organi aziendali e alle funzioni aziendali di controllo la piena conoscenza e governabilità dei fattori di rischio

4. Pone in essere le iniziative e gli interventi necessari per garantire nel continuo la completezza, l’adeguatezza, la funzionalità e l’affidabilità del sistema dei controlli interni e porta i risultati delle verifiche effettuate a conoscenza dell’organo con funzione di supervisione strategica;

5. Predispone e attua i necessari interventi correttivi o di adeguamento nel caso emergano carenze o anomalie, o a seguito dell’introduzione di nuovi prodotti, attività, servizi o processi rilevanti;

Quanto suddetto nella presente sezione ha natura strettamente eccezionale ancorché volontaria e quindi non obbligatoria in quanto è soggetta a valutazione esclusivamente dalle società di mediazione creditizia di maggiori dimensioni che vogliono modulare la loro configurazione alla stregua di intermediari vigilati.