Il D. Lgs. 231/2007, come novellato dai D. Lgs. 90/2017 e 125/2019 in attuazione della IV e V Direttiva AML, impone agli intermediari bancari e finanziari un regime rafforzato di adeguata verifica (Enhanced Due Diligence – EDD) nei confronti di determinate categorie di clientela ad elevato profilo di rischio, con particolare riguardo alle Persone Politicamente Esposte (PEP) e ai soggetti classificati ad alto rischio (high-risk customers).

L’art. 25 del Decreto rappresenta la norma cardine che regola le modalità organizzative attraverso cui l’intermediario adempie agli obblighi di EDD. In tale contesto, la disposizione prevede espressamente una facoltà di delega in capo agli organi di vertice del soggetto obbligato, delineando al contempo i presupposti sostanziali e i limiti soggettivi entro cui tale delega può legittimamente operare.

L’art. 25 co. 3 D. Lgs. 231/2007 dispone che i soggetti obbligati adottino misure adeguate per stabilire se il cliente o il titolare effettivo siano una Persona Politicamente Esposta, e che l’apertura o il mantenimento di rapporti con tali soggetti – nonché con clientela classificata ad alto rischio – siano autorizzati dall’alta dirigenza (DG) o dal Consiglio di Amministrazione, ovvero da soggetti da essi appositamente delegati.

Contenuto e natura giuridica della facoltà di delega

La norma introduce una deroga al principio del presidio diretto da parte del vertice aziendale, consentendo di demandare l’autorizzazione all’apertura e al mantenimento dei rapporti a soggetti terzi rispetto al DG o al CdA. Si tratta di una facoltà e non di un obbligo: l’intermediario può scegliere di accentrare tale competenza nei soli organi apicali.

La delega, tuttavia, non è illimitata né generica. La lettura sistematica della disposizione, coerente con la ratio del presidio AML e con i principi di proporzionalità e responsabilità organizzativa, impone che:

• il delegante conservi piena responsabilità per le scelte organizzative adottate;
• il delegato disponga di adeguate competenze tecniche e di un’autonomia decisionale effettiva;
• la delega sia formalizzata per iscritto e inserita nel sistema dei controlli interni;
• siano definiti perimetro, limiti e modalità di esercizio della delega medesima.

Principio di responsabilità non delegabile La delega trasferisce il potere autorizzativo ma non la responsabilità organizzativa e di vigilanza che rimane, in ogni caso, in capo al delegante. Il CdA o il DG rispondono delle scelte organizzative anche quando le funzioni operative sono attribuite ad altri.

Figure cui può essere demandato il potere di delega

L’art. 25 non specifica analiticamente le figure destinatarie della delega, rimettendo all’autonomia organizzativa dell’intermediario la relativa individuazione, nel rispetto dei principi di adeguatezza e coerenza con l’architettura dei controlli. Sulla base della prassi bancaria consolidata, delle indicazioni di Banca d’Italia e degli orientamenti delle autorità europee di supervisione (EBA/ESA Joint Guidelines on AML/CFT), si possono identificare le seguenti categorie di soggetti delegabili.

Responsabile della Funzione Antiriciclaggio

Il soggetto istituzionalmente preposto alla funzione AML è, per antonomasia, il destinatario più appropriato della delega ex art. 25. La sua nomina, i suoi requisiti di indipendenza e le sue responsabilità sono disciplinati dalla normativa secondaria di Banca d’Italia (Provvedimento 26 marzo 2019 e s.m.i.).

• Possiede le competenze tecniche e normative necessarie per valutare il profilo di rischio AML/CFT.
• È strutturalmente indipendente dalle funzioni commerciali, evitando conflitti di interesse.
• Risponde gerarchicamente all’organo con funzione di gestione, garantendo un flusso informativo corretto.
• Dispone di accesso diretto agli organi apicali e al Collegio Sindacale/Organismo di Vigilanza.

Chief Risk Officer (CRO) / Responsabile Rischi

In talune architetture organizzative, specie in gruppi bancari strutturati, il CRO può ricevere la delega in virtù del ruolo di presidio complessivo dei rischi aziendali. Tale soluzione è ammissibile ma richiede una valutazione attenta affinché la componente AML non sia subordinata a logiche di risk management di tipo finanziario o di credito.

Direttore Generale Vicario / Deputy CEO

In assenza di strutture specializzate di adeguata dimensione, ovvero in situazioni di urgenza organizzativa, la delega può essere conferita al Direttore Generale Vicario, che funge da alter ego del DG. Tale soluzione è tuttavia sub-ottimale rispetto all’attribuzione a figure specializzate nel rischio AML.

Inopportunità della delega a soggetti commerciali, ancorché apicali

L’aspetto di maggiore rilevanza pratica riguarda l’attribuzione della delega a soggetti appartenenti alle strutture commerciali, anche quando questi rivestano ruoli dirigenziali di primo piano (es. Direttore Commerciale, Responsabile della Rete, Responsabile del Segmento Private/Corporate).

Tale prassi, sebbene non espressamente vietata dalla lettera dell’art. 25, deve ritenersi fortemente sconsigliata per una pluralità di ragioni di ordine sistematico, organizzativo e procedurale.

Il conflitto di interessi strutturale

La criticità principale risiede nel conflitto di interessi intrinseco che caratterizza qualsiasi figura commerciale, per quanto apicale. Il responsabile commerciale ha come obiettivo primario la crescita del portafoglio, l’acquisizione di clientela e il raggiungimento dei target di budget. Questi obiettivi sono per definizione in tensione con la funzione di controllo e presidio del rischio AML.

Rischi principali del conflitto d’interessi in capo a figure commerciali: ▸ Tendenza a privilegiare l’autorizzazione del rapporto per motivazioni commerciali, sottostimando i red flag AML. ▸ Pressione implicita (o esplicita) sulle strutture di analisi del rischio affinché la valutazione sia favorevole all’apertura. ▸ Assenza di cultura del rischio AML come priorità, in favore di logiche di revenue e di fidelizzazione del cliente. ▸ Rischio di cattura regolamentare: il delegato finisce per agire nell’interesse del cliente più che nell’interesse dell’intermediario. ▸ Difficoltà a mantenere posizioni di diniego nei confronti di clientela strategica o portatori di significativi volumi di raccolta.

Carenza di specializzazione tecnico-normativa

Le figure commerciali, pur dotate di esperienza settoriale, non possiedono normalmente la specializzazione tecnica richiesta per valutare correttamente il profilo di rischio AML di un PEP o di un soggetto classificato ad alto rischio. In particolare:

• La valutazione di un PEP richiede conoscenza dell’assetto delle cariche pubbliche, dei meccanismi di corruzione sistemica, delle giurisdizioni ad alto rischio e delle tecniche di occultamento dei proventi illeciti.
• L’identificazione del titolare effettivo in strutture societarie complesse (holding, trust, fondazioni) richiede competenze legali e fiscali che non appartengono al profilo tipico del banker o del gestore commerciale.
• La valutazione della coerenza economica di operazioni richiede criteri metodologici definiti dalla funzione AML, non criteri commerciali di valutazione del cliente.

Incompatibilità con i principi di separazione delle funzioni

I principi di separazione funzionale (“segregation of duties”) alla base di qualsiasi architettura di controllo interno efficace postulano che chi genera il business non possa essere il medesimo soggetto che valida il rischio associato a quel business. L’attribuzione della delega ex art. 25 a una figura commerciale viola questo principio fondamentale.

Le stesse Linee Guida EBA sulle politiche e procedure in materia di adeguata verifica (EBA/GL/2022/05) sottolineano l’importanza che le funzioni di approvazione di clientela ad alto rischio siano esercitate da soggetti indipendenti dalle strutture di business e dotati di adeguata autorità.

L’attribuzione della delega a una figura commerciale potrebbe essere interpretata come una scelta organizzativa carente, sintomatica di una cultura aziendale in cui le logiche di business prevalgono sui presidi di controllo.

In sintesi, la delega ex art. 25 è pienamente legittima e costituisce uno strumento organizzativo utile per le banche di medie e grandi dimensioni, a condizione che rispetti i seguenti principi cardine:

Principio	Contenuto
Indipendenza	Il delegato deve svolgere le attività delegate in maniera indipendente.
Competenza	Il delegato deve possedere adeguata specializzazione in materia AML/CFT, documentata da formazione e esperienza specifica.
Autorità effettiva	Il delegato deve poter esercitare un potere di diniego reale, senza pressioni commerciali, gerarchiche o reputazionali.
Formalizzazione	La delega deve essere conferita per iscritto, con specifica indicazione del perimetro, dei limiti e delle modalità di esercizio.
Tracciabilità	Ogni autorizzazione (o diniego) deve essere documentata con adeguata motivazione e conservata nel fascicolo cliente.
Supervisione	Il delegante (DG/CdA) deve ricevere reportistica periodica sull’esercizio della delega e mantenere un efficace monitoraggio.
Revisione periodica	La delega e i criteri di autorizzazione devono essere oggetto di revisione periodica.

 Conclusioni

L’art. 25 del D. Lgs. 231/2007 configura la delega dell’autorizzazione per rapporti con PEP e soggetti ad alto PdR come uno strumento organizzativo flessibile, che risponde all’esigenza pratica di alleggerire gli organi apicali da compiti operativi pur mantenendo un presidio qualificato. La norma, tuttavia, non può essere letta in modo avulso dai principi sistemici dell’ordinamento AML e dalle Istruzioni di Vigilanza.

La delega è pienamente appropriata quando attribuita a soggetti dotati di indipendenza strutturale dalla funzione commerciale, di adeguata competenza tecnico-normativa e di effettiva autonomia decisionale: in primis il Responsabile AML.

Al contrario, l’attribuzione della delega a soggetti con ruolo commerciale – ancorché apicali come il Direttore Commerciale o il Responsabile della Rete – deve essere attentamente ponderata, per ragioni che attengono simultaneamente alla prevenzione del conflitto di interessi, al rispetto dei principi di segregation of duties, alla carenza di specializzazione tecnica e alla gestione del rischio reputazionale e sanzionatorio dell’intermediario.

Una scelta organizzativa coerente con la ratio dell’art. 25 è un segnale concreto della cultura AML che l’intermediario intende promuovere e costituisce uno dei presidi più significativi valutati dall’Autorità di Vigilanza.