Le basi normative della Wwft per i revisori
La Wet ter voorkoming van witwassen en financieren van terrorisme stabilisce gli obblighi antiriciclaggio per istituzioni finanziarie e professionisti designati, revisori inclusi. L'articolo 1 Wwft qualifica i revisori come "istituti" soggetti a tutti gli obblighi della legge quando prestano servizi di revisione. Il parallelo italiano è il D.Lgs. 231/2007 (artt. 3 e 18 in particolare), che tratta i revisori come soggetti obbligati con doveri di adeguata verifica e segnalazione alla UIF.
Si noti la differenza di sorveglianza. In Italia il revisore risponde alla UIF presso Banca d'Italia per le segnalazioni e al MEF per le sanzioni; per le società quotate la CONSOB resta il vigilante sull'attività di revisione. Nei Paesi Bassi, l'AFM vigila sull'attività di revisione, il Bureau Financieel Toezicht (BFT) sui notai e su parte dei professionisti, e la FIU-Nederland riceve le segnalazioni sospette. Stessa logica, regia diversa.
Quando si applicano gli obblighi Wwft
Gli obblighi Wwft scattano quando uno studio accetta un incarico che comporti accesso ai registri finanziari del cliente e l'emissione di un giudizio di revisione. Non si limitano alla revisione legale. Quando si onboard un cliente NL, qualsiasi servizio che richieda l'esame approfondito dei flussi finanziari rientra nell'ambito.
L'articolo 3 Wwft richiede misure di customer due diligence in tre situazioni: all'inizio di un rapporto d'affari permanente, per transazioni occasionali oltre EUR 15.000, e quando sussista il sospetto di riciclaggio. Per i revisori, la prima situazione assorbe quasi tutto: l'incarico di revisione costituisce sempre un rapporto d'affari permanente.
Sistema di identificazione e verifica dei clienti
Identificazione della proprietà effettiva
L'articolo 4 Wwft impone l'identificazione della proprietà effettiva di tutti i clienti societari. Per le società di capitali, questo significa identificare ogni persona fisica che possieda o controlli, direttamente o indirettamente, più del 25% delle azioni o dei diritti di voto. Per le strutture fiduciarie, si identificano costituente, trustee, guardiani e beneficiari. La soglia coincide con quella del D.Lgs. 231/2007, ma la profondità di verifica richiesta dall'AFM va oltre quella che la UIF ritiene tipicamente sufficiente per le SRL italiane.
La verifica non si esaurisce nella consultazione del registro KvK. Si esaminano statuti, patti parasociali e qualsiasi struttura di controllo indiretto attraverso holding o accordi fiduciari. Quando nessuna persona fisica raggiunge il 25%, si identifica chi occupa la posizione di senior managing official.
Cosa accade nei fatti
In teoria, il fascicolo Wwft contiene la catena documentata di proprietà. Nella pratica, sui mandati che si vedono il fascicolo si ferma al primo livello: KvK del cliente diretto, copia del documento del socio di maggioranza apparente, e firma del partner. Funziona finché qualcuno non chiede chi sta dietro la holding. A quel punto il fascicolo è muto.
Per carità, in molti casi il beneficial owner reale è davvero il socio di primo livello, e tutto torna. Però il problema è che lo si scopre solo se qualcuno guarda. L'AFM guarda. La UIF, sui rinvii cross-border, guarda con occhio diverso ma guarda anche lei.
Documentazione richiesta per la verifica
Per ogni cliente, il fascicolo di customer due diligence deve contenere: - Copia del documento d'identità valido di tutti i beneficial owner identificati - Estratto KvK aggiornato (non oltre tre mesi all'inizio dell'incarico) - Statuto societario e modifiche successive - Patti parasociali che incidano sul controllo - Organigramma della struttura di proprietà quando complessa
La verifica dell'identità si effettua con documenti originali esaminati di persona, copie certificate, o sistemi di identificazione elettronica conformi all'articolo 5 del decreto attuativo Wwft.
Esempio pratico: catena di proprietà cross-border
Si prenda un cliente realistico per uno studio italiano che opera con il network NL: De Vries Engineering B.V., società olandese di ingegneria con ricavi per EUR 12 milioni, posseduta al 100% da una holding lussemburghese, Patrimoine Sàrl, che a sua volta è detenuta al 70% da un imprenditore italiano residente fiscalmente in Italia e al 30% da un trust delle Cayman in cui beneficiari sono i tre figli minori dello stesso imprenditore.
Sulla checklist, il KYC è semplice: si identifica l'imprenditore italiano come beneficial owner sopra il 25% e si tickano le caselle. Il problema è che il fascicolo, così, non documenta il trust. Non documenta perché un imprenditore italiano abbia trasferito il 30% di una holding lussemburghese a un trust delle Cayman a beneficio di figli minori. Non documenta la fonte del patrimonio iniziale che ha alimentato Patrimoine Sàrl.
Qui si apre la zona grigia che divide i partner.
Partner A (linea AFM): la due diligence rafforzata ai sensi dell'articolo 8 Wwft richiede il source-of-wealth tracing fino alla transazione originaria che ha generato il patrimonio in Patrimoine Sàrl. Senza, il fascicolo non regge a un'ispezione perché l'AFM testa proprio questo: la profondità della catena, non la sua larghezza.
Partner B (linea D.Lgs. 231): una dichiarazione di provenienza del patrimonio attestata da notaio italiano, accompagnata dai bilanci storici della holding e dalla documentazione fiscale dell'imprenditore, soddisfa il floor del D.Lgs. 231/2007 e, di fatto, è quello che la UIF accetta sui mandati equivalenti italiani. Andare oltre è zelo, non obbligo.
Entrambe le posizioni sono ragionevoli. Il punto, in quanto revisore, è che sul mandato olandese il test rilevante è quello dell'AFM, non quello della UIF. Si scrive il fascicolo per il regolatore che farà l'ispezione, non per il template a cui si è abituati.
Valutazione e classificazione del rischio
Fattori di rischio secondo l'articolo 8 Wwft
L'articolo 8 Wwft impone una valutazione del rischio su tre assi: rischio paese, rischio cliente, rischio prodotto/servizio. Per i revisori, si traduce in una valutazione che pesa giurisdizione del cliente, natura dell'attività, e tipo di incarico.
I paesi ad alto rischio comprendono quelli FATF non cooperativi e i paesi terzi ad alto rischio identificati dalla Commissione Europea (lista AMLD aggiornata periodicamente). Le entità con proprietà o operazioni in queste giurisdizioni richiedono enhanced due diligence. Non basta tickare la casella: si documenta perché il rischio sia mitigabile o perché l'incarico vada rifiutato.
Classificazione del rischio cliente
Ogni cliente va classificato come basso, normale o alto rischio secondo criteri scritti. Si distinguono tipicamente:
Rischio basso: società quotate UE, enti pubblici UE, clienti con attività trasparenti e beneficial ownership chiara.
Rischio normale: PMI con operazioni prevalentemente domestiche, struttura proprietaria semplice, settori convenzionali.
Rischio alto: entità con operazioni in paesi ad alto rischio, strutture proprietarie complesse, settori sensibili (case da gioco, metalli preziosi, servizi finanziari non bancari).
La classificazione determina la frequenza di aggiornamento e l'intensità del monitoraggio.
Cosa accade nei fatti
Sui fascicoli che si vedono, la classificazione è quasi sempre "normale" perché "alto" obbliga ad aggiornamenti annuali e a una documentazione che gli studi non hanno tempo di produrre. Il KYC cresce ogni anno (Wwft, AMLD V, AMLD VI, sesta lista FATF) ma il budget di onboarding non si muove. Il risultato è prevedibile: tickare la casella di beneficial-ownership diventa un esercizio di passaggio dell'ispezione interna, non di tenuta sotto esame esterno.
Gli studi italiani che fanno revisione su clienti NL hanno un problema strutturale aggiuntivo: il template documentale è quello del D.Lgs. 231, costruito intorno al rischio organizzativo di riciclaggio, non intorno alla profondità transazionale del KYC. Il file format stesso non cattura quello che l'AFM cerca, indipendentemente dalla qualità delle procedure sottostanti. Compensi irrisori sui mandati cross-border SME peggiorano il quadro: l'ora marginale, quando il budget stringe, va sull'opinion, non sull'AML.
Nessuno gode a rifare la KYC su una catena societaria di cinque livelli, ma è il fascicolo che si difende e quello no è il fascicolo che si segnala.
Monitoraggio continuo e segnalazioni sospette
Obbligo di monitoraggio continuo
L'articolo 9 Wwft richiede il monitoraggio continuo del rapporto d'affari per tutta la durata dell'incarico. Per i revisori, significa prestare attenzione a transazioni inusuali identificate durante il lavoro di revisione e valutarle come possibili indicatori di riciclaggio.
Il monitoraggio non richiede procedure aggiuntive rispetto a quelle necessarie per il giudizio. Richiede però che il team riconosca i segnali e documenti la valutazione quando emerge qualcosa.
Quando presentare segnalazioni sospette
L'articolo 16 Wwft impone la segnalazione alla FIU-Nederland quando si sospetti ragionevolmente che una transazione sia collegata a riciclaggio o finanziamento del terrorismo. È il pendant olandese della segnalazione alla UIF di Banca d'Italia ai sensi del D.Lgs. 231/2007. Per i revisori, il sospetto emerge tipicamente nell'esame di transazioni inusuali individuate durante le procedure di revisione.
Segnali tipici che si vedono nel fascicolo: transazioni in contanti significative senza giustificazione commerciale, movimenti di fondi verso paesi ad alto rischio scollegati dall'attività operativa, discrepanze rilevanti tra ricavi dichiarati e flussi di cassa osservati. La segnalazione va presentata entro due settimane dall'identificazione del sospetto e non solleva il revisore dall'obbligo di portare a termine l'incarico secondo gli standard professionali.
Si noti la cosa che spesso si dimentica: la segnalazione alla FIU-Nederland scatta a prescindere dalla rilevanza del sospetto rispetto al giudizio. Anche nei casi in cui il revisore nutra dubbi sul beneficial owner senza alcun impatto sull'opinione, il sospetto va valutato e, se ragionevole, segnalato.
Checklist pratica di conformità
1. Verificare l'identificazione completa. Prima di accettare l'incarico, ottenere e verificare i documenti d'identità di tutti i beneficial owner sopra il 25% di controllo, indiretto incluso.
2. Documentare la valutazione del rischio. Classificare ogni cliente come basso, normale o alto rischio con criteri scritti. Aggiornare annualmente o quando le circostanze cambino.
3. Archiviare per cinque anni. Tutti i documenti di customer due diligence, le valutazioni del rischio, e la corrispondenza relativa restano conservati per cinque anni dalla cessazione del rapporto.
4. Formare il team sui segnali di allerta. Ogni membro che acceda ai registri del cliente riconosca le transazioni potenzialmente sospette.
5. Stabilire una procedura di segnalazione. Un processo chiaro per valutare e, se necessario, segnalare alla FIU-Nederland entro i termini.
6. Tenere aggiornate le informazioni. Per i clienti ad alto rischio, aggiornare la due diligence almeno annualmente. Per gli altri, ogni tre anni o al cambiare delle circostanze.
Errori comuni negli studi di revisione
- Identificazione incompleta della proprietà effettiva. Molti studi si fermano al primo livello senza tracciare il controllo indiretto. Le ispezioni AFM individuano costantemente fascicoli con catena documentata solo parzialmente. Quando le carte sono leggere, lo si scopre lì.
- Classificazione del rischio senza criteri documentati. Assegnare classificazioni senza criteri scritti coerenti rende difficile difendere le decisioni in ispezione e crea incoerenze tra clienti dello stesso portafoglio.
- Mancato aggiornamento periodico. Il fascicolo nasce all'onboarding e non viene più aggiornato, anche quando le circostanze del cliente sono cambiate (cambio di beneficial owner, nuova holding inserita nella catena, espansione in giurisdizioni ad alto rischio).
Contenuti correlati
- Glossario: Customer due diligence — Definizione completa e requisiti per l'identificazione e verifica dei clienti secondo le normative antiriciclaggio.
- Strumento: Registro dei clienti ad alto rischio — Template Excel per classificare e monitorare i clienti secondo i criteri di rischio Wwft.
- Articolo: ISA 240 e indicatori di riciclaggio — Come integrare gli obblighi antiriciclaggio con le procedure di valutazione del rischio di frode.