Cos’è il KYC e perché è così importante attuarlo

La trasformazione digitale a cui stiamo assistendo sta modificato le abitudini di comportamento in molti ambiti, nello specifico, nel settore finanziario si registra un incremento sostanzioso nell’adozione di nuove tecnologie ^[1], sia in termini di pagamenti digitali, ma anche di esperienza della clientela, ormai orientata al digital-first, che è in grado di aprire un conto on-line o effettuare transazioni comodamente dai propri device in qualsiasi momento e in qualunque luogo essa si trovi.

Questo porta a un proliferarsi di situazioni in cui è possibile che si verifichino episodi non proprio trasparenti, al limite della legalità o che addirittura rientrino nella fattispecie di illeciti o frodi.

Nel mondo finanziario, il rispetto delle normative antiriciclaggio e contro il finanziamento del terrorismo (AML/CFT) è una priorità cruciale. Tra i vari strumenti utilizzati per garantire la compliance, il KYC (Know Your Customer) e l’Adeguata Verifica (CDD-Customer Due Diligence) rappresentano le procedure fondamentali per verificare l’identità della clientela e l’accuratezza delle informazioni fornite.

In questo articolo andremo a vedere in dettaglio:

1. Definizione di KYC e Adeguata Verifica – CDD;
2. Inquadramento normativo italiano;
3. Chi sono i Soggetti Obbligati;
4. I processi di KYC e Adeguata Verifica;
5. L’importanza per i Soggetti Obbligati dell’automatizzazione in ambito KYC e Adeguata Verifica;
6. Le soluzioni SADAS per il KYC e l’Adeguata Verifica.

---

1. Definizione di KYC e di Adeguata Verifica (CDD):

In generale, i concetti di KYC e Adeguata Verifica sono in stretta relazione poiché si basano sulla necessità di verificare l’identità dei clienti: KYC è un processo che comporta la verifica delle informazioni identificative dei clienti attuali, potenziali o occasionali, mentre l’Adeguata Verifica è l’insieme di processi destinati a valutare il rischio dei clienti sulla base delle informazioni raccolte.  

Tenuto conto di detta integrazione in relazione allo scopo comune, tuttavia le procedure sono altresì connotate, dal punto di vista funzionale, da alcune differenze che è bene precisare, come vedremo nel corso di questo approfondimento.

KYC

Il KYC, acronimo di Know Your Customer, è il processo attraverso il quale i Soggetti Obbligati identificano i propri clienti e determinano il profilo di rischio degli stessi. Questo processo include la raccolta di informazioni personali come nome, cognome, indirizzo, residenza e data di nascita.

Adeguata Verifica (CDD)

Il CDD che sta per Customer Due Diligence, invece, prevede la valutazione, il monitoraggio nel continuo della clientela e l’approfondimento di quest’ultima, per valutare costantemente il livello di rischio dei soggetti.

In sintesi, il KYC è incentrato sull’identificazione del cliente ed è da intendersi come fase propedeutica rispetto all’Adeguata Verifica, che può essere vista come un’estensione del KYC, giacché è un approfondimento e si occupa di comprendere e gestire il rischio di riciclaggio associato a ciascun cliente.

2. Inquadramento normativo:

In Italia, l’Adeguata Verifica della Clientela, intesa come KYC e CDD, è disciplinata dal D. Lgs. 231/2007 (c.d. Decreto Antiriciclaggio), come modificato:

• dal D. Lgs. 90/2017, in recepimento della IV Direttiva AML (Direttiva (UE) 2015/849), la quale ha introdotto normative rafforzate per prevenire il riciclaggio di denaro e il finanziamento del terrorismo, estendendo e approfondendo i requisiti per le procedure di KYC, richiedendo un approccio basato sul rischio (risk based approach) e ampliando l’ambito di applicazione dei controlli;
• dal D. Lgs. 125/2019, in recepimento della V Direttiva AML (direttiva (UE) 2015/849), la quale dettaglia ulteriormente le regole in punto di Adeguata Verifica;
• dal D.L. 76/2020 (c.d. Decreto Semplificazioni), che apporta una serie di modifiche alla disciplina antiriciclaggio, al fine di snellire le procedure di identificazione a distanza della clientela.

Tale Provvedimento detta gli obblighi specifici per i “Soggetti Obbligati” ex lege, coinvolti nella prevenzione e nella gestione dei rischi legati al riciclaggio di denaro e al finanziamento del terrorismo.

Per chiarezza e completezza, si propongono a seguire degli estratti, sulla tematica afferente all’Adeguata Verifica della clientela, all’interno del Decreto.

Il Decreto Antiriciclaggio (Decreto Legislativo 231/2007) dedica all’Adeguata Verifica gli articoli da 17 a 30 (ossia, il Capo I del Decreto).       

Di particolare rilievo sono:

• gli articoli 17, 18 e 19, che rispondono rispettivamente alle domande:
  • quando compiere l’adeguata verifica;
  • prendendo in considerazione cosa;
  • sulla base di quali modalità, ossia come.
• gli articoli 23 e 24, che regolano l’adeguata verifica semplificata e rafforzata.

Art. 17

Dall’art.17 del D.Lgs 231/2007 si evincono le occasioni in cui procedere all’adeguata verifica.

Comma I

“I soggetti obbligati procedono all’adeguata verifica del cliente e del titolare effettivo con riferimento ai rapporti e alle operazioni inerenti allo svolgimento dell’attività istituzionale o professionale:

a) in occasione dell’instaurazione di un rapporto continuativo o del conferimento dell’incarico per l’esecuzione di una prestazione professionale;

b) in occasione dell’esecuzione di un’operazione occasionale […] che comporti la trasmissione o la movimentazione di mezzi di pagamento di importo pari o superiore a 15.000 euro, indipendentemente dal fatto che sia effettuata con una operazione unica o con più operazioni che appaiono collegate per realizzare un’operazione frazionata […]”.

Comma II

“I soggetti obbligati procedono, in ogni caso, all’adeguata verifica del cliente e del titolare effettivo:

a) quando vi è sospetto di riciclaggio o di finanziamento del terrorismo, indipendentemente da qualsiasi deroga, esenzione o soglia applicabile;

b) quando vi sono dubbi sulla veridicità o sull’adeguatezza dei dati precedentemente ottenuti ai fini dell’identificazione”.

Art. 18

Nell’art.18 del D.Lgs 231/2007 si definisce, tra le altre, cosa bisogna prendere in considerazione per effettuare l’adeguata verifica.

Comma I

“Gli obblighi di adeguata verifica della clientela si attuano attraverso:

1. l’identificazione del cliente e la verifica della sua identità sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente. Le medesime misure si attuano nei confronti dell’esecutore […]; 
2. l’identificazione del titolare effettivo e la verifica della sua identità attraverso l’adozione di misure proporzionate al rischio ivi comprese, con specifico riferimento alla titolarità effettiva di persone giuridiche, trust e altri istituti e soggetti giuridici affini, le misure che consentano di ricostruire, con ragionevole attendibilità, l’assetto proprietario e di controllo del cliente;
3. l’acquisizione e la valutazione di informazioni sullo scopo e sulla natura del rapporto continuativo o della prestazione professionale […];
4. il controllo costante del rapporto con il cliente, per tutta la sua durata, attraverso l’esame della complessiva operatività del cliente medesimo, la verifica e l’aggiornamento dei dati e delle informazioni acquisite nello svolgimento delle attività di cui alle lettere a), b) e c), anche riguardo, se necessaria in funzione del rischio, alla verifica della provenienza dei fondi e delle risorse nella disponibilità del cliente, sulla base di informazioni acquisite o possedute in ragione dell’esercizio dell’attività. […]”.

Art. 19

L’art.19 del D.Lgs 231/2007 fornisce una panoramica in merito alle modalità attuative dell’adeguata verifica.

 Comma I

“I soggetti obbligati assolvono agli obblighi di adeguata verifica della clientela secondo le seguenti modalità:

1. l’identificazione del cliente e del titolare effettivo è svolta in presenza del medesimo cliente ovvero dell’esecutore, anche attraverso dipendenti o collaboratori del soggetto obbligato e consiste nell’acquisizione dei dati identificativi forniti dal cliente, previa esibizione di un documento d’identità in corso di validità o altro documento di riconoscimento equipollente ai sensi della normativa vigente, del quale viene acquisita copia in formato cartaceo o elettronico. Il cliente fornisce altresì, sotto la propria responsabilità, le informazioni necessarie a consentire l’identificazione del titolare effettivo. L’obbligo di identificazione si considera assolto, anche senza la presenza fisica del cliente, nei seguenti casi:

[…]

2) per i clienti in possesso di un’identità digitale […].

• la verifica dell’identità del cliente, del titolare effettivo e dell’esecutore richiede il riscontro della veridicità dei dati identificativi contenuti nei documenti e delle informazioni acquisiti all’atto dell’identificazione, solo laddove, in relazione ad essi, sussistano dubbi, incertezze o incongruenze. […].
• l’acquisizione e la valutazione di informazioni sullo scopo e sulla natura del rapporto continuativo o della prestazione professionale, verificando la compatibilità dei dati e delle informazioni fornite dal cliente con le informazioni acquisite autonomamente dai soggetti obbligati, anche avuto riguardo al complesso delle operazioni compiute in costanza del rapporto o di altri rapporti precedentemente intrattenuti nonché all’instaurazione di ulteriori rapporti;
• il controllo costante nel corso del rapporto continuativo o della prestazione professionale si attua attraverso l’analisi delle operazioni effettuate e delle attività svolte o individuate durante tutta la durata del rapporto, in modo da verificare che esse siano coerenti con la conoscenza che il soggetto obbligato ha del cliente e del suo profilo di rischio, anche riguardo, se necessario, all’origine dei fondi”.

Comma II

“L’estensione delle verifiche, della valutazione e del controllo di cui al comma 1 è commisurata al livello di rischio rilevato”.

Art. 23 – Adeguata Verifica Semplificata

Comma I

“In presenza di un basso rischio di riciclaggio o di finanziamento del terrorismo, i soggetti obbligati possono applicare misure di adeguata verifica della clientela semplificate sotto il profilo dell’estensione e della frequenza degli adempimenti prescritti dall’articolo 18”.

Comma II

“Ai fini dell’applicazione di misure semplificate di adeguata verifica della clientela e fermo l’obbligo di commisurarne l’estensione al rischio in concreto rilevato, i soggetti obbligati tengono conto, tra l’altro, dei seguenti indici di basso rischio:

1. indici di rischio relativi a tipologie di clienti […];
2. indici di rischio relativi a tipologie di prodotti, servizi, operazioni o canali di distribuzione […]; 

indici di rischio geografico relativi alla registrazione, alla residenza o allo stabilimento […]”.

Art. 24 – Adeguata Verifica Rafforzata

Comma I

“I soggetti obbligati in presenza di un elevato rischio di riciclaggio o di finanziamento del terrorismo applicano misure rafforzate di adeguata verifica della clientela”.

Comma II

“Nell’applicazione di misure rafforzate di adeguata verifica della clientela, i soggetti obbligati tengono conto, almeno dei seguenti fattori:

1. fattori di rischio relativi al cliente […];
2. fattori di rischio relativi a prodotti, servizi, operazioni o canali di distribuzione […];
3. fattori di rischio geografici […]”.

Comma III

 “Ai fini dell’applicazione di obblighi di adeguata verifica rafforzata della clientela i soggetti obbligati esaminano contesto e finalità di operazioni caratterizzate da importi insolitamente elevati ovvero rispetto alle quali sussistono dubbi circa la finalità cui le medesime sono, in concreto, preordinate e, in ogni caso, rafforzano il grado e la natura delle verifiche atte a determinare se le operazioni siano sospette”. […].

Comma V

“I soggetti obbligati applicano sempre misure di adeguata verifica rafforzata della clientela in caso di:

1. rapporti continuativi, prestazioni professionali ed operazioni che coinvolgono paesi terzi ad alto rischio;
2. rapporti di corrispondenza transfrontalieri, che comportano l’esecuzione di pagamenti, con un ente creditizio o istituto finanziario corrispondente di un Paese terzo;
3. rapporti continuativi, prestazioni professionali o operazioni con clienti e relativi titolari effettivi che siano persone politicamente esposte […].

In sintesi, tale Decreto, che in generale rappresenta la base giuridica per l’attuazione delle misure di AML/CFT in Italia, impone ai Soggetti Obbligati di adottare procedure di identificazione della clientela e di gestione del rischio connesso a quest’ultima (KYC e CDD) adeguate a prevenire l’uso improprio del sistema finanziario a scopo di riciclaggio di denaro e/o finanziamento del terrorismo.

3. Chi sono i Soggetti Obbligati

Dall’art.3 del Decreto Antiriciclaggio si evince anche chi sono i Soggetti Obbligati, ovvero i Soggetti che devono adottare misure di KYC e Adeguata Verifica. Essi sono principalmente:

• Intermediari Bancari e Finanziari: come banche, le società di intermediazione mobiliare, gli istituti di moneta elettronica (IMEL), le società di investimento a capitale variabile (SICAV), le società di investimento a capitale fisso (SICAF), le imprese di assicurazione, le società di gestione del risparmio (SGR) e le società fiduciarie.

• Altri operatori finanziari: come soggetti che esercitano professionalmente l’attività di cambio valuta.

• Altri operatori non finanziari: come Compro Oro, agenti in affari che svolgono attività in mediazione immobiliare e i prestatori di servizi relativi all’utilizzo di valuta virtuale.

• Soggetti Professionisti: come avvocati e notai, quando, in nome o per conto dei propri clienti, compiono qualsiasi operazione di natura finanziaria o immobiliare e quando assistono i propri clienti nella predisposizione o nella realizzazione di determinate operazioni.

• Prestatori di servizi di gioco: come gli operatori di gioco on line e i gestori case da gioco.

4. Il Processo di KYC e Adeguata Verifica

Dopo aver analizzato il quadro normativo e compresa la natura dei Soggetti Obbligati, vediamo di seguito una descrizione, per punti, del processo KYC e Adeguata Verifica.

Il KYC è il processo attraverso il quale il Soggetto Obbligato acquisisce e verifica le informazioni relative all’identità dei propri clienti, specie in fase di on-boarding. Invece, l’Adeguata Verifica è un processo più approfondito di analisi sul cliente, che può comprendere anche l’Adeguata Verifica Rafforzata, finalizzato a cogliere meglio la natura delle sue transazioni e a identificare i potenziali rischi di riciclaggio di denaro o finanziamento del terrorismo.

Il processo di identificazione e gestione del rischio della clientela, da effettuarsi:

• All’instaurazione di un rapporto continuativo;
• All’esecuzione di operazioni occasionali;
• Quando vi sono dubbi sulla veridicità e l’adeguatezza dei dati precedentemente ottenuti;
• Quando vi è un sospetto di riciclaggio o di finanziamento del terrorismo,

comprende diversi passaggi:

• Identificazione del Cliente: la prima fase coinvolge la raccolta di informazioni di base sul cliente, come il nome completo, l’indirizzo, la data di nascita e il codice di identificazione fiscale.

• Identificazione dell’Esecutore: raccolta di informazioni sull’Esecutore, anche con riferimento alla verifica dell’esistenza e dell’ampiezza del potere di rappresentanza in forza del quale opera in nome e per conto del cliente.

• Identificazione dell’eventuale Titolare Effettivo: il Soggetto Obbligato identifica il Titolare Effettivo, ovvero la persona che detiene il controllo effettivo sui fondi o sugli asset coinvolti.

• Verifica dell’identità: una volta raccolte le informazioni, il Soggetto Obbligato verifica l’identità del Cliente mediante l’acquisizione di documenti di identità validi, come passaporti, patenti di guida o carte d’identità nazionali.

• Calcolo, Analisi e Valutazione del Profilo di Rischio: durante questo processo, viene valutato il rischio associato al cliente sulla base di fattori come la sua provenienza geografica, la natura e la frequenza delle transazioni, l’occupazione e altre informazioni pertinenti. In particolare, la valutazione e la profondità dell’analisi sono svolte proporzionalmente alla rischiosità emersa.

• Adeguata Verifica Rafforzata, che si rende necessaria in caso di rischio elevato e che consiste nell’arricchimento delle informazioni relative al cliente, come lo scopo e la natura del rapporto.

• Monitoraggio continuo: una volta che il cliente è stato identificato e il profilo di rischio è stato valutato, l’intermediario finanziario monitora continuamente le attività del cliente per individuare eventuali comportamenti sospetti o transazioni anomale, garantendo che le informazioni sul cliente siano costantemente aggiornate.

Concludendo, è doveroso sottolineare come il processo di KYC e di Adeguata Verifica sia essenziale per garantire la compliance normativa nel settore finanziario, mitigando il rischio per i Soggetti Obbligati di incorrere in potenziali sanzioni e danni reputazionali.

5. L’importanza dell’automatizzazione in ambito KYC e CDD:

Per i Soggetti Obbligati, l’automatizzazione dei processi KYC e CDD rappresenta una risorsa preziosa. Grazie all’utilizzo di tecnologie come la RPA (Robotic Process Automation – macchine, robot, ma anche software per l’automatizzazione dei processi) arricchite da intelligenza artificiale e modelli di machine learning, è possibile migliorare l’efficienza e l’accuratezza dei processi visti nel paragrafo precedente.

Riportiamo di seguito alcuni dei principali vantaggi che l’adozione di software RPA può portare al settore finance.

I principali vantaggi

Innanzitutto, come presentato in una recente indagine di Gartner proprio sul binomio RPA e Finance, su cui, tra l’altro, vi è un crescente investimento, è appurato il fatto che l’efficienza operativa migliora in termini di abbattimento dei tempi grazie alla riduzione delle attività manuali e ripetitive.

Una conseguenza del punto precedente è il miglioramento dell’accuratezza dell’intero processo. È risaputo che la soglia di attenzione di una persona è inversamente proporzionale alla ripetitività dell’azione stessa, per cui un processo automatizzato che si avvale di soluzioni performanti, può contare su un tasso di errore pressoché confinante con lo 0%.

Da un punto di vista più operativo, l’introduzione di processi automatizzati consente di monitorare in modo continuo le transazioni e le attività dei clienti, identificando tempestivamente comportamenti sospetti e potenziali rischi di riciclaggio di denaro o finanziamento del terrorismo. Con una corretta comprensione delle normative italiane e l’implementazione di processi automatizzati, i Soggetti Obbligati possono garantire un elevato livello di compliance e conformità normativa proteggendo così l’integrità del proprio sistema finanziario.

Infine, non sono trascurabili gli aspetti reputazionali. Un cliente, che è soggetto a lunghe attese o a fraintendimenti generati da una cattiva gestione delle informazioni, può pensare che l’azienda sia inefficiente e inaffidabile, mentre invece, con il supporto di software adeguati, che evitano e riducono al minimo la probabilità di errore, si crea un rapporto di fiducia e soddisfazione.

6. Le soluzioni SADAS per il KYC e per l’Adeguata Verifica

Sadas, con un’esperienza ventennale nel settore Compliance e AML, ha sviluppato la suite SHERLOCK, un sistema di soluzioni software che soddisfa appieno tutti gli obblighi normativi AML, una gamma di prodotti end-to-end pensata proprio per la Funzione AML.

Vediamo quindi nel dettaglio le principali funzionalità delle soluzioni SADAS relative all’oggetto di questo approfondimento:

SH_KYC

SH_KYC è un modulo che, grazie a un motore di calcolo del punteggio personalizzabile, permette di assegnare una fascia di rischio e profilazione della clientela nella fase di on-boarding o in caso di aggiornamento dei dati dei clienti o per eventuali ricalcoli periodici, garantendo così il monitoraggio nel continuo.

Il modulo consente, inoltre, la gestione dei profili di rischio e delle variazioni, oltre alla consultazione e conservazione di tutte le informazioni emerse durante il processo di Customer Due Diligence.

Le principali caratteristiche funzionali del modulo sono:

• Definizione del profilo di rischio della clientela tramite calcolo del punteggio;
• Calcolo del punteggio in differenti touch point e in considerazione di esigenze specifiche;
• Monitoraggio nel continuo dei profili di rischio della clientela;
• Storicizzazione delle informazioni e pronta consultabilità delle stesse.

SH_WF_ADV

A corredo della precedente soluzione, Sadas ha sviluppato un modulo per governare e presidiare l’intero processo di Adeguata Verifica, un flusso di lavoro dinamico e visuale integrato con il sistema informativo aziendale che agevola la gestione, l’analisi e la validazione delle pratiche di Adeguata Verifica.

Con un approccio risk based, permette di automatizzare il processo valutativo per garantire una corretta Adeguata Verifica e mitigare il rischio di riciclaggio della clientela. È un prezioso strumento di controllo del processo di data enrichment e valutazione della clientela in ambito antiriciclaggio: dall’assegnazione alla rete delle diverse tipologie di questionario, alla compilazione, fino alla valutazione e storicizzazione dei questionari, il tutto rispettando i processi autorizzativi definiti tra i vari attori (amministratore, gestore, delegato e unità operative).

---

[1] Report Osservatori Innovative Payments – Politecnico di Milano