N. R.G. 901/2024
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE D'APPELLO DI MILANO
Sezione prima civile nelle persone dei seguenti magistrati:
dott.ssa Serena Baccolini Presidente dott.ssa Alessandra Arceri Consigliere rel. dott. Lorenzo Orsenigo Consigliere
ha pronunciato la seguente
SENTENZA
nella causa iscritta al n. r.g. 901/2024 promossa in grado d'appello
da
con sede legale in Milano, Via Melchiorre Gioia Parte_1
n. 8, (P.IVA n. ), in persona del legale rappresentante pro tempore, P.IVA_1
rappresentata e difesa, giusta procura in atti, anche disgiuntamente fra loro, dall'avv.
Salvatore Tedesco (C.F. ) e dall'avv. Giampiero Mazzocca C.F._1
(C.F. ), elettivamente domiciliata presso lo Studio Retter, sito C.F._2
in Milano, Via A. Locatelli 1;
RICORRENTE contro
Controparte_1
(c.f. ), in persona del Presidente e legale rappresentante pro tempore, P.IVA_2
rappresentata e difesa, giusta procura in atti, dagli avvocati Gianfranco Randisi (c.f.
1 ) e Giulia Patrignani (c.f. , ed C.F._3 C.F._4
elettivamente domiciliata presso la propria sede secondaria in Milano, via Broletto n.
7
RESISTENTE

OGGETTO: atto di opposizione ai sensi dell'art. 195, comma 4 D.lgs. 24 febbraio
1998, n. 58, Testo Unico delle disposizioni in materia di intermediazione finanziaria, per l'annullamento della delibera Consob n. 22980 del 25 gennaio 2024
CONCLUSIONI DELLE PARTI
per il ricorrente Parte_1
“la rappresentata e difesa come in epigrafe Parte_1
CHIEDE CHE codesto ecc.mo Collegio, contrariis rejectis, e previa fissazione dell'udienza pubblica nonché assegnazione di termine per memorie, in accoglimento dei motivi di opposizione, voglia previa sospensione del provvedimento sanzionatorio emesso dalla
Consob con delibera n. 22980 del 25 gennaio 2024, notificato in data 7 febbraio 2024:
- dichiarare nullo o annullare o revocare o dichiarare inefficace il Provvedimento ed ogni altro atto presupposto;

- in subordine, riqualificare la sanzione in termini di puro richiamo ex articolo 62, comma 4 d.lgs. 231/2007 o comunque ridurla;

- in ulteriore subordine, ridurre e rideterminare l'importo della sanzione;
in ogni caso, con vittoria di onorari, competenze e spese, anche generali, di lite.
Salvis iuribus.”
per la resistente CP_1
2 “Rigettare il ricorso proposto da perché integralmente Parte_1
infondato in fatto ed in diritto. Con riserva di ulteriormente dedurre e di depositare documenti. Col favore delle spese, diritti ed onorari di procedura.”
SVOLGIMENTO DEL PROCESSO
Con ricorso ritualmente notificato, (d'ora in poi, Parte_2
Part
“ ) ha adito la Corte d'Appello di Milano per l'annullamento della delibera della
(d'ora in avanti, “ ) n. 22980 Controparte_1 CP_1
del 25 gennaio 2024 (“Delibera”) e di ogni altro atto presupposto (quale il relativo Atto di accertamento, DOCC. 1 e 1 bis), con cui le sono state applicate, ai sensi della prima parte dell'art. 62, comma 5, del D. Lgs n. 231/2007 nonché dell'art. 195, del D.lgs. n.
58/1998 (“TUF”), sanzioni amministrative pecuniarie per complessivi euro 120.000,00 per le violazioni di diverse disposizioni del D.lgs. n. 231/2007 e della Delibera CP_1
n. 20570/2018.
Espone l'opponente che, con la delibera impugnata, ha ritenuto accertate a CP_1
carico suo le seguenti violazioni:
- Violazione «A» Con riferimento a quanto indicato sub «A» della nota di contestazione:
a) plurima violazione, nel periodo compreso tra il 1° gennaio 2021 ed il 30 novembre
2022, dell'articolo 33, comma 3, lettere b), c) e d), del Regolamento n. 20570/2018, secondo cui «al fine di assicurare immediatezza e facilità di consultazione e utilizzo dei dati e delle informazioni dei clienti, i Revisori si avvalgono di archivi informatici in cui provvedono a registrare: […] b) i dati identificativi del cliente e del titolare effettivo e le informazioni sullo scopo e la natura della prestazione professionale;
il profilo di rischio di riciclaggio e finanziamento del terrorismo associato al cliente;
d) il settore di attività economica del cliente (secondo la classificazione ATECO pubblicata dall'ISTAT)»;
3 b) sistematica violazione, nel periodo compreso tra il 1° gennaio 2021 ed il 26 maggio
2022, dell'articolo 33, comma 5, del Regolamento n. 20570/2018, secondo cui «le modalità di conservazione e registrazione adottate dai Revisori devono essere idonee
a prevenire qualsiasi perdita dei dati, dei documenti e delle informazioni e devono risultare conformi alle prescrizioni di cui all'art. 32, comma 2, del decreto antiriciclaggio. Le modalità tecniche adottate per la registrazione assicurano in particolare l'ordine cronologico delle registrazioni e la tracciabilità, in caso di rettifiche, delle scritture di modifica e delle registrazioni antecedenti alla modifica»;
- Violazione «B», Con riferimento a quanto indicato sub «B» della nota di contestazione:
a) sistematica violazione, nel periodo compreso tra il 1° gennaio 2021 ed il 30 novembre 2022, dell'articolo 19, comma 1, del Regolamento n. 20570/2018 (in combinato disposto con l'articolo 21, comma 1, del medesimo Regolamento), che prevedono quanto segue:
- art. 19, comma 1: «i Revisori adottano misure di adeguata verifica commisurate ai rischi di riciclaggio e di finanziamento del terrorismo associati alla clientela, in base alle caratteristiche della stessa e alle specificità dell'attività professionale prestata (“approccio basato sul rischio”). A tal fine, i Revisori si dotano di procedure interne in cui sono definite in modo articolato le regole operative e le concrete modalità di comportamento cui i singoli soggetti coinvolti devono attenersi, così da assicurare la coerenza di comportamento e la tracciabilità delle verifiche svolte e delle valutazioni effettuate. Le predette procedure indicano, in particolare, le specifiche misure di adeguata verifica semplificata e rafforzata da assumere in relazione alle diverse tipologie di clienti e di attività professionali»;
- art. 21, comma 1: «i Revisori provvedono a definire, prima dell'accettazione dell'incarico, il profilo di rischio di riciclaggio e di finanziamento del terrorismo attribuibile a ciascun cliente sulla base dei complessivi elementi di
4 valutazione e dei fattori di rischio descritti negli Allegati 1 e 2, ponderati in funzione della loro importanza relativa. In esito alla profilatura, ciascun cliente
è incluso in una classe di rischio predefinita, in ragione della quale sono graduate le misure e le attività afferenti all'adempimento degli obblighi di adeguata verifica e di valutazione delle operazioni sospette»;
b) plurima violazione, nel periodo compreso tra il 1° gennaio 2021 ed il 30 novembre
2022, degli articoli 21, comma 1, e 31, comma 1, del Regolamento n. 20570/2018, che prevedono quanto segue:
- art. 21, comma 1: «i Revisori provvedono a definire, prima dell'accettazione dell'incarico, il profilo di rischio di riciclaggio e di finanziamento del terrorismo attribuibile a ciascun cliente 4 sulla base dei complessivi elementi di valutazione e dei fattori di rischio descritti negli Allegati 1 e 2, ponderati in funzione della loro importanza relativa. In esito alla profilatura, ciascun cliente è incluso in una classe di rischio predefinita, in ragione della quale sono graduate le misure e le attività afferenti all'adempimento degli obblighi di adeguata verifica e di valutazione delle operazioni sospette»;
- art. 31, comma 1: «i Revisori applicano misure rafforzate di adeguata verifica della clientela in presenza di un elevato rischio di riciclaggio o finanziamento del terrorismo, risultante da specifiche previsioni normative – in particolare, dall'art. 24, comma 5, del decreto antiriciclaggio – oppure da loro autonome valutazioni»;
- Violazione «C» Con riferimento a quanto indicato sub «C» della nota di contestazione:
a) sistematica violazione, nel periodo compreso tra il 1° gennaio 2021 ed il 30 novembre 2022, dell'articolo 15, comma 3, del Regolamento n. 20570/2018, secondo cui «nel caso di assegnazione di un grado di rischio elevato di riciclaggio o di finanziamento del terrorismo, il partner responsabile dell'incarico deve comunicare tale situazione al responsabile della funzione antiriciclaggio e, ove presente, alla funzione di risk management, al fine sia di concordare con quest'ultima il livello di
5 rischio generale di revisione da assegnare al cliente, sia di decidere se accettare/continuare o meno a prestare servizi allo stesso. Nel caso in cui si decida di accettare/continuare la prestazione del servizio, il partner responsabile dell'incarico stabilisce, con il contributo del responsabile della funzione antiriciclaggio, le misure di rafforzata verifica da applicare e provvede a conservarne evidenza scritta»;
b) plurima violazione, nel compreso tra il 1° gennaio 2021 ed il 30 novembre 2022, degli articoli 15, comma 3, e 31, commi 1 e 3, del Regolamento n. 20570/2018, che prevedono quanto segue:
- art. 15, comma 3: «nel caso di assegnazione di un grado di rischio elevato di riciclaggio o di finanziamento del terrorismo, il partner responsabile dell'incarico deve comunicare tale situazione al responsabile della funzione antiriciclaggio e, ove presente, alla funzione di risk management, al fine sia di concordare con quest'ultima il livello di rischio generale di revisione da assegnare al cliente, sia di decidere se accettare/continuare o meno a prestare servizi allo stesso. Nel caso in cui si decida di accettare/continuare la prestazione del servizio, il partner responsabile dell'incarico stabilisce, con il contributo del responsabile della funzione antiriciclaggio, le misure di rafforzata verifica da applicare e provvede a conservarne evidenza scritta»;
- art. 31, comma 1: «i Revisori applicano misure rafforzate di adeguata verifica della clientela in presenza di un elevato rischio di riciclaggio o finanziamento del terrorismo, risultante da specifiche previsioni normative – in particolare, dall'art. 24, comma 5, del decreto antiriciclaggio – oppure da loro autonome valutazioni»;
- art. 31, comma 3: «i Revisori definiscono e formalizzano le specifiche misure di adeguata verifica rafforzata da assumere nei confronti dei clienti a rischio elevato, anche in base alla tipologia di attività professionale prestata, e conservano evidenza scritta dell'applicazione delle stesse»
In particolare,, con riguardo alla violazione sub A (cfr., lettera di contestazione,
“Obblighi di registrazione dei dati e delle informazioni della clientela”) veniva contestato all'opponente:
6 - la plurima violazione, relativamente al periodo compreso tra il 1° gennaio 2021 ed il 30 novembre 2022, dell'art. 33, comma 3, lettere b), c) e d), della Delibera
n. 20570/20185.
Infatti, in sede ispettiva è emerso che: a) per 277 clienti (pari a circa il 24% del totale Part dei clienti), non ha registrato i dati identificativi dei titolari effettivi (il dato non è risultato presente né nel Vecchio né nel Nuovo applicativo); b) per 194 clienti (pari a circa il 16,7% del totale dei clienti), RIA non ha registrato il codice ATECO del settore di attività economica (il dato non è presente né nel Vecchio né nel Nuovo applicativo);
c) per 467 dei complessivi 1.876 incarichi professionali (cd. “commesse”) censiti nel
Nuovo applicativo (pari a circa il 25% del totale), RIA non ha registrato il dato relativo al profilo di rischio di riciclaggio e finanziamento del terrorismo (cfr. pagg. 26-28
Relazione ispettiva, DOC. 2);
- la sistematica violazione, relativamente al periodo compreso tra il 1° gennaio
2021 ed il 26 maggio 2022, dell'art. 33, comma 5, della Delibera n. 20570/2018.
Veniva infatti contestato che, nel periodo compreso tra il 1° gennaio 2021 ed il 26 Part maggio 2022, le modalità tecniche adottate da per la registrazione dei dati e delle informazioni della clientela ai fini antiriciclaggio non erano conformi alle prescrizioni dell'art. 33, comma 5, della Delibera n. 20570/2018, in quanto non consentivano di assicurare la tracciabilità, in caso di rettifiche, delle scritture di modifica delle registrazioni e delle registrazioni antecedenti alla modifica (cfr. pagg. 24-25 Relazione ispettiva, All. 156-162, DOC. 2).
Con riguardo alle violazioni contestate sub B, veniva addebitata all'opponente:
- la sistematica violazione, relativamente al periodo compreso tra il 1° gennaio 2021 ed il 30 novembre 2022, dell'art. 19, comma 1, della Delibera n. 20570/2018 l'art. 21, comma 1, della medesima Delibera11).
Infatti, con riferimento alle modalità adottate per la rilevazione della presenza di eventuali PEP e di notizie pregiudizievoli relative ai clienti e ai titolari effettivi, è Part risultato che aveva disatteso le disposizioni regolamentari che prescrivono
7 l'adozione di procedure di adeguata verifica in cui siano definite in modo chiaro le regole operative e le concrete modalità di comportamento cui i singoli soggetti coinvolti devono attenersi, così da assicurare coerenza di comportamento e tracciabilità delle verifiche svolte e delle valutazioni effettuate;

- la plurima violazione, relativamente al periodo compreso tra il 1° gennaio 2021 ed il
30 novembre 2022, degli artt. 21, comma 1, e 31, comma 1, della Delibera n.
20570/2018. Infatti, per i 16 clienti riepilogati nelle tabelle B.1 e B.2 della nota di Part contestazione è risultato che aveva violato le disposizioni normative che richiedono l'attribuzione ai clienti di un appropriato profilo di rischio di riciclaggio e finanziamento del terrorismo, derivante da una completa e corretta valutazione dei fattori di rischio associati agli stessi;
per i nove clienti riepilogati nella tabella B.2, tale violazione ha, altresì, determinato la violazione delle disposizioni che prescrivono l'adozione di misure di adeguata verifica rafforzata nei confronti dei clienti ad elevato rischio di riciclaggio e finanziamento del terrorismo .
Con riguardo alla violazione rubricata sub C (cfr., lettera contestazione, “Obblighi di adozione di misure di adeguata verifica rafforzata”), veniva addebitato all'opponente:
- la sistematica violazione, relativamente al periodo compreso tra il 1° gennaio
2021 ed il 30 novembre 2022, dell'art. 15, comma 3, della Delibera n.
20570/201817 che richiede, in caso di clienti classificati ad elevato rischio di riciclaggio e finanziamento del terrorismo, l'obbligo di comunicazione di tale livello di rischiosità alla Funzione di Risk Management, al fine di decidere se accettare o continuare a prestare gli incarichi professionali;

- la plurima violazione, relativamente al periodo compreso tra il 1° gennaio 2021 ed il 30 novembre 2022, degli artt. 15, comma 3, e 31, commi 1 e 3, della
Delibera n. 20570/201818, che prevedono l'obbligo di comunicazione dei clienti classificati ad elevato rischio alla Funzione Antiriciclaggio, per la conseguente pianificazione e applicazione di misure di adeguata verifica rafforzata in
8 relazione ai sette clienti riepilogati nella tabella C.1 di cui alla lettera di contestazione.
Ritenuta pertanto accertata la responsabilità della società vigilata, la ha CP_1
giudicato le condotte di RIA “di sensibile gravità” e ha disposto nei suoi confronti,
l'applicazione delle seguenti sanzioni amministrative, per complessivi euro
120.000,00, così ripartiti:
➢ euro 40.000,00 per la Violazione «A»;
➢ euro 40.000,00 per la Violazione «B»;
➢ euro 40.000,00 per la Violazione «C»
Avverso il provvedimento ora richiamato, l'opponente ha proposto ricorso in opposizione, articolando i seguenti motivi di impugnazione:
- Intervenuta decadenza, ex art. 195 d.lgs. 58/1998, da parte della da CP_1
potestà sanzionatoria rispetto alle contestazioni;

- Nel merito delle presunte carenze inerenti alla storicità delle registrazioni.
Violazione del principio di tassatività e determinatezza per eccessiva genericità della norma che si assume violata (art. 33, comma 5, Regolamento (Violazione sub A);
- Nel merito delle presunte carenze di completezza delle registrazioni.
Inoffensività delle carenze rilevate ed indebita inversione dell'onere della prova
(violazione sub A);
- Nel merito delle presunte carenze negli obblighi di adozione di misura di adeguata verifica rafforzata della clientela (violazione sub C);
- Errori nella determinazione della sanzione e nella valutazione dei criteri per l'applicazione della sanzione: Assenza di vantaggi, buona fede e scarsa offensività della condotta;

9 - Errori nella determinazione della sanzione e nella valutazione dei criteri per l'applicazione della sanzione: Violazione del principio di sussidiarietà;
- Errori nella determinazione della sanzione e nella valutazione dei criteri per l'applicazione della sanzione: Incompatibilità tra violazioni sistematiche e violazioni plurime laddove contestate sulla base del medesimo comportamento/presupposto;
- Errori nella determinazione della sanzione e nella valutazione dei criteri per l'applicazione della sanzione: vizi dell'iter logico deduttivo utilizzato per determinare importo della sanzione;

- Errori nella determinazione della sanzione e nella valutazione dei criteri per l'applicazione della sanzione: violazione del principio di proporzionalità;
- Violazione delle regole generali di buon andamento della Pubblica
Amministrazione per carenza di adeguata motivazione e per assenza di analisi Cont Contr circa l'operato della da parte dell e della CP_1
- Arbitrarietà nell'esercizio della potestà sanzionatoria e conseguente ingiustificata disparità di trattamento.
Si è costituita con propria memoria la Resistente che insiste per il rigetto del CP_1
ricorso siccome totalmente infondato. Contesta tutto quanto dedotto e argomentato dall'opponente e segnala che l'opposizione ricalca pedissequamente il contenuto delle Part note difensive, già redatte da in sede di ispezione.
A seguito di discussione orale nell'udienza ex art. 195 TUF, la causa è stata trattenuta innanzi al Collegio per la decisione in data 16 aprile 2025.

MOTIVI DELLA DECISIONE
L'opposizione è infondata per i motivi che si vanno ad esporre.
1) Con primo motivo di ricorso, articolato su più punti, la Società lamenta la violazione dell'art. 195 del TUF per avere la notificato la nota di contestazione degli CP_1
10 addebiti oltre il termine di 180 giorni decorrenti dalla data dell'accertamento delle Part violazioni. L'obiezione di tardività delle contestazioni formulata da è basata, in estrema sintesi, sull'assunto che il termine per la contestazione degli addebiti non decorrerebbe dalla data della Relazione ispettiva finale o della conclusione Part dell'ispezione, bensì dalle diverse date in cui avrebbe consegnato, di volta in volta, agli ispettori, nel corso dell'ispezione, le evidenze documentali dalle quali sarebbe stato possibile l'accertamento di ciascuna delle distinte violazioni contestate (sub lett.
A.1., A.2, B.a., B.b, C.a, C.b; cfr. tabella a pag. 3 del ricorso).
In particolare, assume l'opponente che, con riguardo alle violazioni a carattere sistematico, era possibile per la procedere a contestazione sin dalla data di CP_1
ricevimento dei protocolli aziendali interni, che si sono ritenuti in tesi accusatoria inidonei alla rilevazione dei fattori di rischio antiriciclaggio della clientela. Parimenti, la avrebbe potuto dar corso immediato al procedimento accertativo anche CP_1
rispetto alle violazioni “plurime”, non essendovi stata la necessità di procedere ad ulteriori atti istruttori a seguito dell'inoltro dei chiarimenti sulle singole operazioni Part contestate (cfr., pag. 34, atto di accertamento, missiva di del 27/05/2022).
Tanto premesso, denuncia che:
- Con riguardo alle contestazioni enunciate sub A.1, il termine di accertamento sarebbe spirato il 23 novembre 2022, a fronte di contestazione notificata solo in data 24 maggio
2023. Sul punto, segnala che le criticità rilevate fossero immediatamente accertabili sin Part dal riscontro della nota di chiarimento di , dalla quale poteva subito evincersi l'incompletezza dell'archivio e il numero di celle vuote;

- Con riguardo alle violazioni enunciate sub A.2, il termine sarebbe spirato ugualmente il 23 novembre 2022, a fronte di contestazione notificata in data 24 maggio 2023. In tal caso, segnala che la ipotizzata carenza di storicità nel sistema di registrazione era già visibile dalla data di acquisizione degli archivi nel medesimo giorno 23 novembre
2022;
- Con riguardo alle contestazioni delle violazioni sistematiche sub B) e C), il termine doveva dirsi spirato anche in data antecedente all'inizio dell'ispezione. Deduce la
11 ricorrente, infatti, che le procedure aziendali affette da carenze “strutturali” secondo erano già conoscibili all'Autorità sin dal 9 ottobre 2019, data in cui la società CP_1
aveva inoltrato il complesso dei protocolli aziendali adottati ai fini antiriciclaggio. In via gradata, asserisce che il termine sarebbe stato comunque superato, anche a voler Part considerare le emergenze istruttorie. In tal caso, infatti, ha ottemperato in data 11 maggio 2022 alla richiesta degli ispettori di esibizione delle medesime procedure interne: ragion per cui, dal momento di ricezione di dette notizie, avrebbe CP_1
potuto e dovuto contestare le violazioni in parola, al più entro il 30 novembre 2022;
- Con riguardo alle contestazioni “plurime” sub B, il termine doveva ritenersi spirato il 10 maggio 2023, data corrispondente al centottantesimo giorno successivo alla comunicazione a dell'ultima risposta di RIA alle richieste di chiarimento sui CP_1
16 clienti ad alto rischio di cui all'accertamento;
- Con riguardo alle contestazioni “plurime” sub C, il termine doveva ritenersi spirato il 7 novembre 2022, data corrispondente al centottantesimo giorno successivo alla comunicazione a dell'ultima nota di chiarimento sui 7 clienti di cui alla tabella CP_1
C della lettera di contestazione.
Il motivo è infondato. Part Le deduzioni della ricorrente risultano infatti in contrasto con il consolidato orientamento della Suprema Corte, per cui “nel caso di mancata contestazione immediata della violazione, l'attività di accertamento dell'illecito non coincide con il momento in cui viene acquisito il “fatto” nella sua materialità, ma deve essere intesa come comprensiva del tempo necessario alla valutazione dei dati acquisiti ed afferenti agli elementi (oggettivi e soggettivi) dell'infrazione e, quindi, della fase finale di deliberazione correlata alla complessità delle indagini tese a riscontrare la sussistenza dell'infrazione medesima e ad acquisire piena conoscenza della condotta illecita, sì da valutarne la consistenza agli effetti della corretta formulazione della contestazione”.
(cfr., Cass., Sez. Un., 31 ottobre 2019, n. 28210).
Non basta perciò che all'Autorità sia data evidenza di fatti materiali, potenzialmente suscettibili di essere qualificati come illeciti. Il termine per la notifica della
12 contestazione comincia invece a maturare dal momento in cui la constatazione dell'infrazione è supportata da elementi istruttori che, nella valutazione della CP_1
appaiano idonei a dimostrare l'addebito. Il che pacificamente richiede che l'attività ispettiva sia esaurita e che l'Autorità abbia così contezza del quadro organico dei fatti da valutare.
Il termine dell'istruttoria, in sintesi, costituisce perciò presupposto necessario per consentire alla di elevare una contestazione, come anche confermato da vari CP_1
precedenti di questa Corte: “le attività di ispezione dell'Autorità sono […] finalizzate alla raccolta di materiale probatorio in relazione ad attività potenzialmente illecite, ma l'assunzione di tali elementi probatori di per sé comporta una “constatazione” e non un “accertamento”, per il quale, vista la complessità e il tecnicismo della materia,
è necessario un fisiologico intervallo di tempo dedicato all'analisi del materiale raccolto per l'individuazione delle violazioni commesse dal soggetto ispezionato” (così
App. Milano, 28 dicembre 2017, n. 5448).
Il principio sopra enunciato risulta, ad avviso della Corte, di particolare momento per la fattispecie che occupa, nella quale, come si apprende dalla relazione di accertamento, le ispezioni dell'Autorità hanno riguardato non solo violazioni di diverse disposizioni della disciplina antiriciclaggio, ma più diversificati profili dell'assetto organizzativo della società vigilata. In particolare, risultano essere stati esaminati dagli ispettori: i) assetto organizzativo, procedurale e di controllo, implementato dalla Società per dare attuazione alle disposizioni della normativa antiriciclaggio;
ii) modalità di adempimento degli obblighi di adeguata verifica della clientela (identificazione e verifica dei clienti e dei titolari effettivi, verifica dello scopo e della natura dei rapporti professionali, controllo costante nel corso dell'incarico); iii) modalità di adempimento degli obblighi di conservazione dei documenti, dei dati e delle informazioni della clientela;
iv) formazione del personale. (cfr., allegati 4 e 5, relazione ispettiva, doc. 2).
Pertanto, l'istruttoria verteva su un oggetto complesso ed articolato, il cui esame ne richiedeva a maggior ragione la definitiva conclusione, prima di procedere alla formulazione degli addebiti. Tanto doverosamente premesso, si rileva perciò che la
13 notifica delle contestazioni (datata 23 maggio 2023) è, dunque, tempestiva ai sensi dell'art. 195 TUF, essendo intervenuta 160 giorni dopo la data della Relazione ispettiva e 175 giorni dopo la data di chiusura della verifica ispettiva (v., processo verbale del
30 novembre 2022).
2) Con secondo motivo di ricorso, articolato con riferimento alle carenze inerenti alla storicità e alla tracciabilità delle modifiche delle registrazioni antiriciclaggio di cui alla lett. A.2 delle contestazioni, la Società ricorrente lamenta che l'art. 33, comma 5, del
Regolamento n. 20570/2018 non disciplinerebbe in modo compiuto e preciso CP_1
le modalità di registrazione dei dati e delle informazioni acquisiti nell'assolvimento degli obblighi di adeguata verifica della clientela, “presentando sullo specifico punto condizioni obiettive d'incertezza” in contrasto con il principio di tassatività e determinatezza della norma.
Lamenta poi che non avrebbe tenuto conto degli esiti della funzione interna CP_1
autoriciclaggio nell'anno solare 2021/2022, che attesta l'idoneità dei sistemi interni a tracciare le variazioni dei dati e delle informazioni rilevanti ai fini antiriciclaggio,
“focalizzandosi piuttosto sulla incapacità dell'archivio di tracciare la visualizzazione delle correzioni di errori materiali nelle singole registrazioni, aspetto di per sé irrilevante, nella interpretazione plausibile della richiamata disposizione” (cfr., atto di opposizione, pag. 13). Part Ciò risulterebbe confermato anche dalle difficoltà che ha riscontrato nel trovare un fornitore del software che attestasse la conformità dell'applicativo in uso presso la
Società alle prescrizioni regolamentari “non in relazione a potenziali o attuali carenze del software ma [a causa dell'] impossibilità di definire un software come conforme ad una disposizione normativa, quando questa non detta alcuno standard tecnico di riferimento” (cfr., ibidem, pag. 15). Sul punto rimarca poi che le richiamate carenze non sarebbero state accertate a mezzo di perizia sui sistemi informatici, ma sarebbero state desunte da estrazione di file excel riportanti varie pagine degli archivi: in tale sede, si sarebbe unicamente constatato che i file non contenevano un numero progressivo nelle pagine, che assicurasse l'ordine cronologico.
14 Infine, obietta che le carenze in termini di storicità e tracciabilità delle registrazioni alla stessa contestate non sarebbero qualificabili come gravi e strutturali, altrimenti non sarebbe stato possibile per la Società stessa adottare funzionalità asseritamente sufficienti a consentirne il superamento solamente pochi giorni dopo l'avvio dell'ispezione (il 26 maggio 2022).
Il motivo è infondato.
Le censure dell'opponente sono, infatti, incentrate sull'assunto che sia stata addebitata la violazione di una norma dal contenuto generico, quale l'art. 33, comma 5 della delibera n. 20570/2018 (cd. “Regolamento), e che, comunque, il proprio CP_1
sistema di registrazione risultava nella sostanza conforme ai canoni di storicità e tracciabilità delle registrazioni imposti dalla normativa in parola.
Trattasi, ad avviso della Corte, di rilievi inconferenti e che trovano in aggiunta smentita nel comportamento serbato dalla stessa opponente in corso di ispezione.
Ai sensi dell'art. 33, comma 5, del regolamento infatti “Le modalità di CP_1
conservazione e registrazione adottate dai Revisori devono essere idonee a prevenire qualsiasi perdita dei dati, dei documenti e delle informazioni e devono risultare conformi alle prescrizioni di cui all'art. 32, comma 2, del decreto antiriciclaggio. Le modalità tecniche adottate per la registrazione assicurano in particolare l'ordine cronologico delle registrazioni e la tracciabilità, in caso di rettifiche, delle scritture di modifica e delle registrazioni antecedenti alla modifica”.
Trattasi, per ammissione della stessa autorità di vigilanza, di “criteri generali di definizione delle modalità di registrazione – ben noti alle società di revisione, ponendosi in linea di continuità con quelli previgenti di cui all'abrogato Provvedimento della Banca d'Italia del 3 aprile 2013, recante la disciplina del Registro elettronico antiriciclaggio (REA) – che lasciano i soggetti vigilati liberi di adottare in concreto molteplici soluzioni tecnico-informatiche (con il supporto del fornitore del software che di regola ne attesta la conformità alle prescrizioni normative), purché vengano garantite le finalità della norma” (cfr., memoria p. 21). CP_1
15 Tanto premesso, merita dar conto che in sede ispettiva la società non aveva mai sollevato obiezioni circa il carattere generico delle prescrizioni regolamentari in questione, e sulla conseguente difficoltà di prestarvi ottemperanza dal lato pratico.
Dai verbali istruttori emerge, infatti, che nella documentazione annuale di analisi e valutazione dei rischi di riciclaggio finanziamento, indirizzati a sin dal CP_1
dicembre 2019, le denunciate “problematiche esistenti nell'effettuazione delle registrazioni e la correlata necessità di rendere il registro rispondente a quanto previsto dall'art. 33 della delibera 20570” non erano mai state evidenziate CP_1
(cfr., pag. 32, atto di accertamento). Part Risulta invece all'opposto, per stessa ammissione della ricorrente, come abbia utilizzato sino a tutto il 1 settembre 2021 un software di archiviazione non conforme ai parametri regolamentari delle registrazioni dei dati antiriciclaggio. È stato poi accertato dagli ispettori che anche il nuovo applicativo è stato posto in funzione in violazione della normativa di settore, avendo la società provveduto a ovviare alle richiamate carenze solo in data 26 maggio 2022, quando cioè, ad ispezione avviata, la società ha dato corso ad un aggiornamento del proprio sistema LOG al fine di tracciare le modifiche storiche delle registrazioni.
Detto accorgimento, in uno con le altre iniziative intraprese nell'intento di rendere il proprio sistema conforme alla normativa mal si concilia con la pretesa oscurità CP_1
della disposizione violata, che fin da prima dei rilievi ispettivi, pertanto, poteva esser rispettata. Condivisibile, pertanto, il rilievo di secondo cui “ la riprova CP_1
dell'inesistenza di reali ostacoli tecnologici all'implementazione dei requisiti regolamentari si rinviene nell'aver la società fornitrice del nuovo applicativo di registrazione adottato dal 1° settembre 2021 (Microsoft Dynamics Business Central) provveduto ad attestare, in un apposito questionario sottoscritto il 31 maggio 2022, la ricorrenza nello stesso dei requisiti dell'ordine cronologico e della tracciabilità delle modifiche delle registrazioni dopo (e per effetto) dell'implementazione, avvenuta il 26 maggio 2022, del sistema di log delle modifiche delle registrazioni e di una tabella
16 storicizzata con le variazioni dei campi rilevanti ai fini antiriciclaggio” (cfr., atto di accertamento, pag. 33).
Il che rende ragionevole ritenere non solo che la conformità ai requisiti regolamentari dell'applicativo in uso fosse materialmente possibile ma, anche, ottenibile prima di quanto nel concreto avvenuto.
Non secondario, in tale ordine di idee, è quanto poi emerso all'esito della verifica della
Funzione Antiriciclaggio conclusasi il 10 giugno 2022, secondo cui la società fornitrice del nuovo applicativo non aveva rilasciato l'attestazione di conformità dell'applicativo Part ai requisiti regolamentari siccome non prevista negli accordi sottoscritti con (si veda, all. 172 alla Relazione ispettiva).
Trattasi, ad avviso della Corte, di ulteriore elemento che sconfessa la tesi, perorata dall'opponente, dell'impossibilità di reperire sul mercato un software conforme ad una normativa irrimediabilmente indeterminata e che, all'opposto, pare corroborare la valutazione svolta dall'Autorità nella propria relazione conclusiva: “Da quanto sopra discende che la pretesa «completa e totale buona fede» della società non risulta suffragata da utili elementi di conforto: emerge, piuttosto, l'evidenza di un atteggiamento superficiale connotato da un certo grado di sottovalutazione della rilevanza della tematica del rispetto della normativa antiriciclaggio. Ne è riprova il Part fatto che si è resa parte diligente nell'attivare le doverose iniziative rimediali solo
a valle dell'avvio dell'attività ispettiva” (cfr., pag. 32, atto di accertamento).
3) Con terzo motivo di ricorso, la Società sostiene che la contestazione di cui alla lett.
A.

1. attinente, in particolare, all'incompletezza delle registrazioni dei dati identificativi dei titolari effettivi, “si distingu[a] per approssimazione e superficialità”, non avendo
l'Autorità condotto “i doverosi approfondimenti istruttori” sulle motivazioni alla base Part di tali carenze, riconducibili, secondo : i) “alla coincidenza del titolare effettivo del cliente con l'esecutore/legale rappresentante (cd. titolare effettivo 'ex officio' o
'per criterio residuale')”, ii) “o anche alla indisponibilità del dato da registrare” per effetto della mancata conservazione dello stesso negli archivi documentali della
Società” (cfr., atto di opposizione pag. 16).
17 Pertanto, la prima ancora di contestare la mancata registrazione dei dati dei CP_1
titolari effettivi, avrebbe dovuto accertare “l'effettiva acquisizione e disponibilità del dato non registrato”, e, dunque, “la corretta esecuzione degli obblighi di adeguata verifica” nell'ambito della quale vengono acquisiti, ove esistenti e disponibili, tra gli altri, i dati indentificativi del titolare effettivo. Nella prospettazione del ricorrente, inoltre, la avrebbe travisato i contenuti delle comunicazioni inviate dal CP_1
Referente interno della Funzione antiriciclaggio di RIA ai Partner e alle segreterie per sollecitare la registrazione nell'applicativo dei dati mancanti, adducendo che tali solleciti sarebbero stati semplicemente delle esortazioni “a verificare e, se del caso eventualmente, a raccogliere i dati e ad inserirli nell'archivio”. Part Infine, insiste in ogni caso per il carattere “puramente formale” della violazione relativa alla mancata registrazione del codice ATECO del settore di attività economica dei clienti, nonché del profilo di rischio di riciclaggio, non essendo quest'ultimo “un dato identificativo del cliente di cui il d.lgs. 231/2007 prescrive l'acquisizione […]e la relativa conservazione […] bensì una elaborazione informatizzata generata da un tool in uso alla RIA”.
Ad avviso della ricorrente, infatti, “non è dato cogliere (se non in termini del tutto apodittici e tautologici) se, quando e in che misura, la eventuale mancata funzionalità del presidio abbia limitato il revisore nella sua capacità di giudizio, in tema di valutazione del rischio di riciclaggio o di segnalazione di operazioni sospette” (cfr., pag. 18 atto di opposizione).
Il motivo è infondato.
Giova sul punto premettere che, rispetto all'incolpazione contestata sub A prima parte, si è ascritta alla società opponente la violazione plurima dell'articolo 33, comma 3, lettere b), c) e d), del Regolamento n. 20570/2018, secondo cui «al fine di assicurare immediatezza e facilità di consultazione e utilizzo dei dati e delle informazioni dei clienti, i Revisori si avvalgono di archivi informatici in cui provvedono a registrare:
[…] b) i dati identificativi del cliente e del titolare effettivo e le informazioni sullo scopo e la natura della prestazione professionale;
il profilo di rischio di riciclaggio e
18 finanziamento del terrorismo associato al cliente;
d) il settore di attività economica del cliente (secondo la classificazione ATECO pubblicata dall'ISTAT)”.
Infatti, in sede ispettiva, l'Autorità ha rilevato che: Part
“- per circa il 24% della clientela (n.d.r., 277 clienti), non ha registrato i dati identificativi dei titolari effettivi (l'anomalia concerne i dati presenti sia nel vecchio che nel nuovo applicativo); Part
- per circa il 16,7% della clientela (n.d.r., n. 467 clienti) non ha registrato il codice
ATECO del settore di attività economica (l'anomalia concerne i dati presenti sia nel vecchio che nel nuovo applicativo);
- per circa il 25% del «commesse» (n.d.r., n. 194 clienti) censite nel nuovo applicativo, Part
non ha registrato il dato relativo al profilo di rischio di riciclaggio e finanziamento del terrorismo.
In tale contesto di oggettiva inadeguatezza del processo di alimentazione di dati nei due applicativi, va, altresì, evidenziato che, nel nuovo applicativo, il campo relativo al profilo di rischio del cliente è risultato parimenti connotato da criticità ed inattendibilità, come peraltro riconosciuto dalla stessa società.” (cfr., atto di accertamento, pag. 26).
Così tracciato il perimetro dell'incolpazione, va preliminarmente rilevata l'erroneità di fondo dell'impostazione difensiva dell'opponente.
Ad avviso di RIA, infatti, “Occorre intanto chiarire che le informazioni relative ai dati identificativi dei titolari effettivi o al codice ATECO del settore di attività economica del cliente vengono, ove esistenti e disponibili, acquisite in sede di adeguata verifica, utilizzate per i controlli (ad esempio per verificare la presenza di indici reputazionali negativi) nonché valorizzate nell'ambito della valutazione del rischio di riciclaggio e vengono altresì conservate e mantenute nella disponibilità di RIA, sia in forma analogica (documentazione cartacea) che digitale (riproduzione in copia per immagine e conservazione sui sistemi informatici della Società nella cartella del cliente o in quella condivisa con la funzione antiriciclaggio, di cui è stata data evidenza agli ispettori in sede di controllo). Ciò che viene contestato è, presumibilmente,
19 l'eventuale mancato trasferimento di tali dati e informazioni nell'archivio informatico aziendale dedicato alla standardizzazione dei dati a fini antiriciclaggio” (cfr., ricorso in opposizione, pag. 18). Ragion per cui, “la irrilevanza delle carenze in esame non può che trovare conferma;
si sta discutendo, in sintesi, solo ed eventualmente, di data entry negli archivi informatizzati della Società; ma, e questo argomento appare decisivo e non contestato, i dati e le informazioni in esame, asseritamente non trasferiti negli archivi sono esistenti, acquisiti, utilizzati e conservati nel rispetto della normativa primaria.” (cfr., ibidem , pag. 19).
Trattasi, ad avviso della Corte, di argomento inconferente.
Come ben evidenziato nell'atto di accertamento, infatti, gli obblighi di registrazione contemplati dalla normativa in parola sono del tutto distinti da quelli di conservazione dei dati antiriciclaggio (cfr., atto di accertamento, pag. 33), e mirano a proteggere l'interesse alla immediatezza di consultazione ed utilizzo dei dati antiriciclaggio da parte dell'Autorità di vigilanza: “gli obblighi di registrazione hanno l'evidente scopo di agevolare verifiche ed elaborazioni massive da parte delle Autorità di vigilanza, che, altrimenti, dovrebbero ricercare i dati rilevanti ai fini antiriciclaggio mediante
l'analisi del complesso delle evidenze documentali conservate dai soggetti vigilati nei singoli fascicoli di ciascun cliente” (cfr., ibidem, pag. 36).
Alla luce di ciò, non può pertanto condividersi l'argomento dell'opponente, che pretende di esaurire l'adempimento degli obblighi di registrazione in quelli preliminari di conservazione, a suo dire correttamente espletati (cfr., atto di opposizione, pag. 18).
Intanto, infatti, ad ulteriore conferma del carattere autonomo di dette prescrizioni, è bene osservare che la contestazione si incentra unicamente sull'omessa registrazione dei dati ivi indicati.
Inoltre, è decisivo osservare che, a voler seguire la prospettazione dell'opponente, la contestazione sarebbe priva di offensività concreta, siccome detti dati sarebbero comunque rinvenibili “nel sistema di conservazione dei dati e delle informazioni, complessivamente considerato” (cfr., ibidem, pag. 19). Si pretenderebbe cioè, come ben evidenziato dall'Autorità resistente, che i dati di cui è prescritta la registrazione
20 siano attinti direttamente da mediante la consultazione e l'analisi dei singoli CP_1
fascicoli documentali di ciascun cliente della società (nel caso di RIA, ben 1.162). Il che equivale ad addossare a l'onere di quelle ricerche dispendiose, che gli CP_1
obblighi di registrazione cercano proprio di prevenire.
Con riferimento poi alle censure avverso i singoli accertamenti, può osservarsi quanto segue.
In ordine alla registrazione dei dati identificativi dei titolari effettivi, le difese dell'opponente non sembrano smentire le risultanze dell'istruttoria.
Ad avviso della società, infatti, l'omessa registrazione dei dati identificativi dei 277 clienti ispezionati sarebbe stata evinta dalla semplice constatazione che nei file di estrazione dei dati degli archivi ci sono delle celle vuote, senza che sia stata svolta una ulteriore e minimale attività di riscontro e approfondimento che avrebbe consentito di verificare che tale “mancanza” era giustificata, poiché relativa alla coincidenza del titolare effettivo del cliente con l'esecutore/legale rappresentante del cliente o anche alla indisponibilità del dato da registrare.
Trattasi di obiezione inconferente, atteso che, da un lato, ai fini della normativa antiriciclaggio, titolare effettivo e legale rappresentante/esecutore del cliente persona giuridica non sempre coincidono, né detta circostanza è stata mai dimostrata dall'opponente in corso d'ispezione.
Con riguardo al primo dei profili evocati, infatti, è sufficiente richiamare quanto disposto dall'art. 3, comma 2, lett. b) del Regolamento Consob, per cui “titolare effettivo” è, tra l'altro: “nel caso in cui il cliente e/o ilsoggetto per conto del quale il cliente instaura un rapporto professionale siano entità diverse da una persona fisica, la persona fisica o le persone fisiche cui, in ultima istanza, è attribuibile la proprietà diretta o indiretta dell'entità oppure il relativo controllo o che ne risultano beneficiari”.
Pertanto, il campo del registro relativo al titolare effettivo deve ospitare i dati delle persone fisiche nell'interesse delle quali sono rese le prestazioni professionali, persone fisiche che - solo in specifici e limitati casi - sono identificabili nei rappresentanti legali.
21 Nondimeno, da quanto si apprende dalle risultanze istruttorie, “l'esame delle estrazioni dati alla data dell'11 maggio 2022 acquisite in sede ispettiva e da cui sono stati ricavati i 277 casi accertati41 fa emergere che, in corrispondenza di ben 168 dei predetti 277 clienti non era stato registrato alcun dato nel campo
«esecutore/rappresentante legale», né nel vecchio né nel nuovo applicativo .
A ciò si aggiunga, infine, che:
- la pretesa coincidenza del titolare effettivo con «l'esecutore/rappresentante legale» Part non è stata in alcun modo provata da per nessuno dei 277 clienti;

- essa non è stata provata per i circa 80 clienti con forma giuridica di società cooperativa o consorzio o con carattere pubblico (comuni, regioni, enti pubblici e pubbliche amministrazioni, società partecipate pubbliche), per i quali nessun automatismo opera nel senso dell'automatica riconduzione del titolare effettivo al rappresentante legale (e tanto meno all'esecutore, ove il campo contenesse tale informazione), dovendosi sempre verificare in concreto e caso per caso se la titolarità effettiva spetti, in via «residuale» (ex articolo 20, comma 5, del D. Lgs n. 231/2007), al soggetto che esercita poteri di rappresentanza legale, o di amministrazione o di direzione del cliente;

- tale circostanza non è stata provata neppure per i restanti clienti oggetto di contestazione (società di persone e di capitali per le quali operano conseguentemente, in prima battuta ai fini dell'individuazione della titolarità effettiva, i criteri della proprietà e del controllo)” (cfr., atto di accertamento, pag. 35).
Ad ulteriore riprova della situazione di strutturale lacunosità degli archivi dell'opponente, può poi invocarsi il testo di alcune mail interne alla società, relative a
100 commesse attive nel periodo 2019-2020.
Si tratta delle comunicazioni di sollecito del Referente interno della Funzione
Antiriciclaggio, che invitava gli addetti di segreteria e i Partner responsabili a compilare i campi dei registri in questiome: “È estremamente importante che
l'inserimento dei dati mancanti per le commesse 2019 e 2020 sia fatto in tempi rapidi.
Pertanto, vi chiediamo di dare priorità anche a questa attività in modo che sia
22 completata INDEROGABILMENTE entro il 28 febbraio c.a.. Chiedo a tutti di dare supporto alle rispettive segreterie, anche attraverso la raccolta presso i clienti degli eventuali dati mancanti, affinché questa attività possa proseguire con celerità»” (cfr. nota 5 a pagina 6 dell'Atto di accertamento). Sul punto, non può che constatarsi che i dati mancanti, per accertamento non contestato dall'opponente, non risultavano ancora registrati né nel Vecchio né nel Nuovo applicativo al momento di avvio dell'ispezione
(11 maggio 2022).
Tanto basta per ritenere provata la carenza di registrazione di questo tipo di informazione. Né questa conclusione pare contestata dalla tesi, ventilata dall'opponente, per cui sarebbe gravata dell'onere di indagare anche le ragioni CP_1
sottostanti alla mancata registrazione dei dati.
La prospettazione, infatti, è infondata, posto che, come ben evidenziato anche dall'Autorità resistente, la mancata registrazione dei dati di identificazione del titolare effettivo del cliente- persona giuridica integra ex se la violazione della disposizione regolamentare di riferimento, ossia dell'art. 33, comma 3 lett. b) della Delibera n.
20570/2018, che grava i revisori dell'obbligo di registrare, tra le altre, tali informazioni nell'archivio informatico. La norma in questione, infatti, prevede una fattispecie di illecito di pura omissione, la cui dimostrazione, pertanto, non può che incentrarsi sul dato obiettivo della mancanza dell'informazione da registrare.
Parimenti è infondato il rilevo di parte opponente circa la natura puramente formale della violazione sub A seconda parte, relativa alla mancata registrazione del profilo di rischio antiriciclaggio per 467 commesse (circa il 25% del totale).
Nella prospettazione dell'opponente, invero, “il profilo di rischio non sarebbe in alcun modo un dato identificativo o un'informazione del cliente di cui il d.lgs. 231/2007 prescrive l'acquisizione nell'ambito dell'adeguata verifica e la relativa conservazione ma bensì una elaborazione informatizzata generata da un tool in uso alla RIA (tramite foglio di calcolo) secondo determinate logiche di funzionamento” e “La immaterialità delle contestate carenze nelle registrazioni trova ulteriore conforto anche nell'assenza di censure riferite al processo propedeutico alla predisposizione della relazione
23 annuale di autovalutazione dei rischi di riciclaggio e finanziamento del terrorismo, anch'esso documentato negli atti di accertamento e oggetto di specifiche richieste in sede di ispezione.” (cfr., atto di opposizione pagg. 18 e 19).
Trattasi, ad avviso della Corte, di argomenti inconferenti, posto che è pacifico che la profilatura del rischio della clientela rivesta valenza centrale nel sistema di contrasto ai fenomeni antiriciclaggio.
Come esaustivamente illustrato nell'atto di accertamento, infatti, “va evidenziato che la determinazione del profilo di rischio di riciclaggio e finanziamento del terrorismo e la sua conservazione e registrazione sono prescritte dal Regolamento in CP_1
attuazione dell'approccio basato sul rischio che pervade l'intera disciplina di settore
(cfr. art. 15, comma 2, del D. Lgs n. 231/2007) e che è sancito, per ciò che attiene agli obblighi di adeguata verifica, dall'articolo 17, comma 3, del decreto. Diversamente opinando, in situazioni di assenza di una determinazione del profilo di rischio dei clienti dei soggetti obbligati, le disposizioni di cui agli articoli 23 e 24 del Decreto in tema di adeguata verifica semplificata e rafforzata (volte a graduare gli obblighi di adeguata verifica in base alla rischiosità della clientela) non potrebbero operare in concreto.” (cfr., pag. 37, atto di accertamento).
Né la fondatezza dell'addebito in disamina pare essere posta in discussione dalla circostanza che la non abbia censurato il processo di predisposizione del CP_1
documento annuale di analisi e valutazione dei rischi. In proposito, appare esaustivo il Part richiamo a quanto affermato dalla stessa in risposta alle richieste di chiarimento formulate in sede ispettiva :“Il documento è stato elaborato mediante data entry sulla base delle complessive informazioni disponibili negli archivi informatici aziendali, negli allegati A e negli allegati C e delle informazioni che l'ufficio antiriciclaggio ha ricevuto dai partner o da loro delegati (collaboratori, personale e segreterie dei team di lavoro)” (cfr. punto richiesta 43, Allegato 4 Relazione ispettiva, DOC. 2 e relativa risposta, DOC. 15). Il che costituisce una prova ulteriore della carenza informativa degli archivi, se solo si considera che, per affermazione non contestata dall'opponente, ha spiegato come i dati utilizzati per la formazione del documento in questione CP_1
24 provengano da fonti diverse da quelle considerate dagli obblighi di registrazione (in particolare, i dati sui titolari effettivi sarebbero stati acquisiti con i citati moduli
“allegati A”, e i dati sui profili di rischio, rilevabili dai citati moduli “allegati C).
Ragioni analoghe sorreggono il rigetto della censura inerente alla mancata registrazione dei codici ATECO delle 194 commesse ispezionate, omissione ritenuta
“puramente formale” e, perciò, ininfluente ai fini degli obblighi di controllo previsti dalla legge antiriciclaggio.
Nondimeno, contrariamente a quanto dedotto dall'opponente, la carenza del codice identificativo ATECO non può configurarsi come mancanza di un adempimento di carattere solo formale. Detto codice è stato previsto dalla normativa secondaria della al fine di permettere all'Autorità di disporre in modo agevole del dato relativo CP_1
al settore dell'attività economica della clientela, fattore tra i più rilevanti ai fini della profilatura antiriciclaggio del committente (cfr., Allegato 2 al Regolamento CP_1
cfr., atto di accertamento, pag. 37).
Rilevata perciò l'infondatezza dell'impianto del gravame, il Collegio osserva che non sono state offerte deduzioni che contestino gli esiti fattuali dell'istruttoria, i quali Part suggellano la mancanza di questo dato nei registri informatici .
L'omessa registrazione del codice ATECO può perciò dirsi provata per ciascuna delle
194 commesse ispezionate e tanto trova ulteriore riscontro nelle conclusioni rassegnate nel rapporto UIF (cfr., par. 3.5, doc. 4).
4) Con quarto motivo di ricorso, la Società ricorrente contesta la sussistenza delle
Part carenze inerenti alle modalità adottate da per la rilevazione della presenza di eventuali PEP e di notizie pregiudizievoli relative ai clienti e ai titolari effettivi, di cui alla lett. B della nota di contestazione, asserendo che, nell'ambito delle procedure interne della Società di revisione, i soggetti responsabili di tali adempimenti sarebbero individuabili con esattezza e le relative modalità operative descritte in modo analitico.
In particolare, rimarca che, in base ai protocolli interni, è pacifico che il Partner o il revisore contabile dell'incarico rimangano comunque responsabili degli adempimenti volti a prevenire e gestire i rischi di riciclaggio e finanziamento del terrorismo.
25 Inoltre, si duole dell'attribuzione del carattere sistematico alla violazione, essendo stato fatto unicamente riferimento alle previsioni procedurali aziendali, senza cioè aver verificato in concreto gli effettivi adempimenti svolti in relazione alle singole prestazioni professionali. Part Infine, evidenzia la scarsa rappresentatività del campione selezionato per i riscontri dalla essendo stati esaminati soli 46 clienti a fronte di un numero CP_1
complessivo di clienti pari a 1.162, per cui il campione rappresenta solo il 3,95% della clientela.
Il motivo è infondato.
Per maggiore chiarezza di esposizione, giova rammentare che con la incolpazione sub
B, prima parte, è stata imputata alla società la violazione dell'art. 19, comma 1, Reg.
ai sensi del quale «i Revisori adottano misure di adeguata verifica CP_1
commisurate ai rischi di riciclaggio e di finanziamento del terrorismo associati alla clientela, in base alle caratteristiche della stessa e alle specificità dell'attività professionale prestata (“approccio basato sul rischio”). A tal fine, i Revisori si dotano di procedure interne in cui sono definite in modo articolato le regole operative e le concrete modalità di comportamento cui i singoli soggetti coinvolti devono attenersi, così da assicurare la coerenza di comportamento e la tracciabilità delle verifiche svolte e delle valutazioni effettuate. Le predette procedure indicano, in particolare, le specifiche misure di adeguata verifica semplificata e rafforzata da assumere in relazione alle diverse tipologie di clienti e di attività professionali».
La contestazione è sostenuta da sulla base delle risultanze emerse in sede CP_1
ispettiva, dalle quali si apprende in particolare che: “Al Referente interno è stato attribuito il compito di monitorare le modalità di svolgimento del servizio da parte dell'outsourcer, secondo quanto previsto dall'art. 12 del Regolamento Si CP_1
rappresenta che nella Policy AML è individuato anche un Ufficio Antiriciclaggio interno alla Società (di seguito “Ufficio AML”), cui sono affidati compiti di adeguata verifica, di conservazione dei dati e delle informazioni della clientela, nonché di registrazione di detti dati negli archivi informatici in uso. Nella Policy AML detto
26 Ufficio è associato al nominativo della sig.ra , ma in sede ispettiva Persona_1
la Società ha dichiarato che già prima di gennaio 2021 sono state coinvolte nelle attività dell'Ufficio AML ulteriori 11 risorse (4 delle quali part time), contemporaneamente addette anche ad altre mansioni (ad es. segreterie degli uffici dei partner responsabili degli incarichi, che forniscono supporto a detti partner)” (cfr. all.
16 e all. 9 Procedura AML) […]
Quanto ai soggetti preposti allo svolgimento di detta verifica:
-in base alla Policy AML, è compito dei partner individuare e identificare il titolare effettivo, nonchè procedere “a una verifica dei dati e delle informazioni acquisiti con riferimento al cliente, legale rappresentante, esecutore e all'eventuale titolare effettivo mediante riscontro effettuato tramite il ricorso ad una fonte affidabile e indipendente”
(cfr. all. 9 Policy AML, pag. 18). L' è invece addetto agli adempimenti di CP_4
registrazione nell'archivio informatico e di conservazione delle informazioni e dei dati acquisiti dai partner;

- in base alla Procedura AML, il partner è tenuto ad acquisire la documentazione utile agli adempimenti di individuazione e verifica della titolarità effettiva21 e l'addetto dell'Ufficio AML provvede alla “attendibile ricostruzione, quantomeno in forma di sociogramma, dell'assetto proprietario e di controllo della società cliente, per riscontrare l'indicazione esplicita (ove esistente) dei Titolari effettivi”22 (cfr. all. 9
Procedura AML, pag. 28-29).” (cfr., pp. 5-6-11, relazione ispettiva . CP_1
Ad avviso della le richiamate disposizioni interne erano strutturate in modo CP_1
da non indicare in modo univoco i soggetti/unità organizzative deputati ad attivarsi per effettuare le attività di ricerca di eventuali PEP e notizie pregiudizievoli relative ai clienti e ai titolari effettivi della società, in ciò contrastando con il disposto del richiamato art. 19 (cfr., ibidem, pag. 5: “ Si evidenzia che l'attribuzione generica dei compiti di adeguata verifica, di conservazione dei dati e delle informazioni della clientela e di ricerca di PEP e di notizie pregiudizievoli sia ai partner che all CP_4
e/o alle segreterie dei partner, in assenza di previsioni che indichino
[...]
specificamente le attività che devono essere svolte d'iniziativa da ciascuno di detti
27 soggetti e l'iter di condivisione e controllo, può determinare incertezze o ritardi nell'attivazione ed esecuzione degli adempimenti antiriciclaggio”).
In aggiunta, ad avviso dell'Autorità, le procedure antiriciclaggio erano carenti con riguardo al profilo della consultazione e condivisione al partner responsabile dell'esito delle ricerche antiriciclaggio svolte sulla clientela. Le norme interne, infatti, non avrebbero previsto un meccanismo di controllo sulle attività di verifica della clientela, né era previsto un vaglio sull'attendibilità dei dati raccolti, anche al fine di effettuare la delicata valutazione della significatività di eventuali notizie pregiudizievoli emerse
(cfr., atto di accertamento, pag. 38).
Tanto premesso sulla contestazione, le censure dell'opponente non inducono a evidenziare l'errore di CP_1
Part Contrariamente a quanto dedotto da , infatti, dall'esame del documento invocato a proprio favore (estratto del “paragrafo 10. La declinazione analitica ed operativa del processo antiriciclaggio di RIA”, cfr., pag. 11, presentazione di deduzioni scritte e documenti”), le principali attività di rilevazione PEP e eventuali notizie pregiudizievoli risultano ascritte in via alternativa al “Collaboratore del Team di revisione” o all'” ”. Il che, in assenza di un meccanismo di coordinamento tra Controparte_5
i diversi soggetti responsabili, conduce al rischio di incertezza circa l'effettiva esecuzione degli adempimenti antiriciclaggio da parte dei soggetti indicati.
Né risulta a tal proposito bastevole la garanzia, addotta dall'opponente, per cui il
Partner ovvero il revisore restino “comunque” responsabili degli adempimenti funzionali a prevenire i rischi di riciclaggio e di finanziamento al terrorismo. In senso contrario può invece osservarsi che, senza una univoca norma procedurale,
l'attribuzione generica di uno stesso compito a più soggetti non può ritenersi satisfattiva delle finalità scolpite nell'art. 19 Reg. non fosse altro perché è di CP_1
tutta evidenza che, se una pluralità di soggetti possono effettuare l'adempimento, ma non è chiarito quale di costoro sia obbligatoriamente tenuto ad attivarsi, è ben possibile che ciascuno faccia affidamento sul fatto che sarà qualcun altro ad effettuare il controllo (cfr., atto di accertamento, pag. 39).
28 Ad avviso della Corte, si tratta di assunto che ha trovato conforto nell'ispezione condotta sui singoli fascicoli della clientela.
Dall'esame degli atti istruttori emerge, infatti, che per 108 Moduli di profilatura riferiti a 46 clienti e selezionati secondo un approccio risk based: “- per 59 profilature (pari Part a oltre il 55% di quelle esaminate) riferite a 24 clienti, non ha consegnato alcuna evidenza idonea ad attestare lo svolgimento di ricerche di notizie pregiudizievoli;
- negli altri 49 casi, RIA ha fornito esiti di interrogazioni prive di data;
- in 23 casi, tali attività sono state effettuate in ritardo rispetto alla profilatura del rischio (in quanto i moduli di profilatura erano antecedenti alla data di avvio dell'utilizzo dell'infoprovider).” (cfr., ibidem).
Pertanto, in assenza di ricostruzioni alternative, non può che ritenersi che le carenze strutturali delle procedure interne si siano riflesse in una molteplicità di casi concreti di mancato adempimento degli obblighi di rilevazione dei PEP e delle notizie pregiudizievoli.
Il che vale, tra l'altro, a destituire di fondamento la doglianza dell'opponente, per cui l'addebito sub B, prima parte è stato ritenuto illegittimamente sistematico, siccome
“contestato per tabulas e facendo unicamente riferimento alle previsioni procedurali aziendali, senza cioè aver verificato in concreto gli eventuali ed effettivi inadempimenti svolti in relazione alle singole prestazioni professionali”. Part In senso contrario va osservato che la stessa ha confermato che il proprio sistema antiriciclaggio fosse affetto da deficit di chiarezza procedimentale , tanto che, in data successiva al termine dell'ispezione, ha provveduto ad aggiornare i propri protocolli interni, prevedendo al paragrafo “3.1.8 La verifica dei dati relativi al Cliente, all'Esecutore e al Titolare effettivo” quanto segue: “Il Partner responsabile dell'incarico si attiva, anche avvalendosi di un collaboratore o di un dipendente, al fine di approfondire, prima dell'istaurazione della relazione d'affari con il cliente, le informazioni acquisite riguardo al Cliente mediante l'interrogazione di un database Part commerciale per il quale ha sottoscritto un abbonamento con e che CP_6
“Le risultanze dell'interrogazione, sia negative che positive, sono ricevute dal Partner
29 responsabile dell'incarico (laddove lo stesso non abbia eseguito personalmente il controllo) e vengono tenute in considerazione dallo stesso ai fini della valutazione del rischio della prestazione professionale e sono conservate nel fascicolo del cliente con evidenza della data di esecuzione del controllo”. (cfr., presentazione di deduzioni scritte e documenti a Consob, 21 luglio 2023).
Si tratta di interventi che recepiscono integralmente il contenuto della contestazione e che confermano, in definitiva, l'inadeguatezza dell'assetto antiriciclaggio vigente in
RIA al tempo dell'ispezione.
In conclusione, l'Autorità ha correttamente contestato all'opponente l'infrazione
“sistematica” dell'art. 19 Reg. in quanto riconducibile ad una carenza CP_1
strutturale delle procedure interne e alla carenza di evidenze che attestino i controlli sull'attività di rilevazione dei dati antiriciclaggio in tutti i 108 casi ora richiamati.
È parimenti inconferente la censura avanzata dall'opponente in merito alla seconda parte dell'addebito sub B, con la quale si obietta a di aver contestato una CP_1
violazione “plurima” in un campione di caso scarsamente rappresentativo: nella specie, si tratterebbe di 46 clienti, per 16 dei quali è stato associato un profilo di rischio antiriciclaggio non appropriato, su una platea complessiva di 1162 clienti (3,95% del totale;
cfr., tabelle B1 e B2della nota di contestazione, pag. 29, atto di accertamento).
Preliminarmente, va rilevato che, come correttamente prospettato da il CP_1
gravame non contesta la sussistenza dell'illecito, che, pertanto può ritenersi accertato.
Piuttosto, le deduzioni dell'opponente paiono direzionate a contestare la metodologia utilizzata dall'Autorità per addivenire a questo esito.
Nondimeno, si tratta, ad avviso della Corte, di profili superabili, tanto perché, come ha ben spiegato il campione dei casi ispezionati è stato composto selezionando CP_1
più clienti, caratterizzati da più fattori di rischiosità “onde verificare se gli addetti a ciò Part preposti da avessero in concreto adottato comportamenti non coerenti con una corretta e prudente gestione dei rischi antiriciclaggio.” (cfr., atto di accertamento, pag.
40). La metodica adottata pare perciò congruente al tipo di violazione ascritta, che, per
30 poter essere configurata come “plurima”, deve essere accertata in una pluralità di casi e con riguardo a diversi partner responsabili (cfr., pag. 29, atto di accertamento).
Nel caso di specie, pertanto, la prova della qualifica dell'infrazione può ritenersi raggiunta, essendosi riscontrata con riferimento a clienti diversi, seguiti da Partner di riferimento differenti e, in ragione di ciò, dotata di carattere plurimo.
5) Con quinto motivo, la Società ricorrente torna a contestare, anche con riguardo alla violazione di cui alla lett. C relativa alle carenze accertate dalla CP_1
Part nell'adempimento da parte di agli obblighi di adozione di misure di adeguata verifica rafforzata, l'impossibilità di configurare una violazione sistematica per tabulas, nonché la scarsa significatività del campione di clienti esaminato. In particolare, si duole che la società abbia desunto la sussistenza di una violazione
“sistematica” dalla semplice lettura delle procedure interne in punto di gestione del rischio antiriciclaggio: sarebbe così mancato un accertamento in concreto di singoli episodi di condotte violative degli obblighi di adozione delle misure rafforzate di adeguata verifica.
Inoltre, lamenta che l'Autorità non avrebbe tenuto in adeguata considerazione “il Part concreto contesto operativo di ” nel quale, “conformemente allo statuto e a quanto evidenziato nelle procedure”, l'accettazione degli incarichi a rischio era di Pt_3
Part competenza di un “esponente aziendale avente la legale rappresentanza di ”. Il che avrebbe reso del tutto superfluo prevedere la formale accettazione/autorizzazione dei rapporti ad alto rischio da parte di un organo aziendale gerarchicamente subordinato rispetto al legale rappresentante.
Con riguardo ai 7 casi in cui la ha riscontrato un ritardo nella comunicazione CP_1
alla Funzione Antiriciclaggio dell'attribuzione del rischio Alto al cliente, secondo la ricorrente, l'Autorità non avrebbe verificato se in concreto “il Partner avesse adottato autonomamente…determinate misure di verifica rafforzata” e, in ogni caso, avrebbe mancato di “enuclea[re] le misure che i avrebbero omesso di adottare Pt_4
autonomamente” (cfr., atto di opposizione, pag. 19).
Il motivo è infondato.
31 La censura in esame investe la correttezza dell'addebito formulato sub C) della nota di Part contestazione, con cui si imputa, in sostanza, a di aver contravvenuto:
a) alla disposizione che richiede, in caso di clienti classificati ad elevato rischio di riciclaggio e finanziamento del terrorismo, l'obbligo di comunicazione di tale livello di rischiosità alla Funzione di Risk Management, al fine di decidere se accettare o continuare a prestare gli incarichi professionali (art. 15, comma 3, reg. consob);
b) per i 7 clienti riepilogati nella tabella C.1 della nota di addebito e per gli intervalli temporali ivi specificati, alle disposizioni che prevedono l'obbligo di comunicazione dei clienti classificati ad elevato rischio alla Funzione Antiriciclaggio, per la conseguente pianificazione e applicazione di misure di adeguata verifica rafforzata
(cfr., funditus, atto di accertamento, pag. 30).
Con riferimento specifico alla violazione di cui alla citata lettera a), contesta CP_1
all'opponente una carenza strutturale delle proprie procedure antiriciclaggio, in tesi difettose di meccanismi di segnalazione alla funzione di Risk management circa i casi di clientela ad “Alto” rischio di riciclaggio.
Ed infatti, dalle evidenze emerse in sede di ispezione, si è appurato che “le procedure interne di RIA in caso di attribuzione a un cliente del profilo di rischio di riciclaggio e finanziamento del terrorismo «Alto», mentre prevedono che «l'operatività [debba] essere bloccata» e che debba essere contattata la Funzione Antiriciclaggio per
«concordare l'applicazione di misure rafforzate di adeguata verifica» e che «RIA
[valuti] se procedere alle dimissioni per giusta causa […] per la prestazione in corso di esecuzione o se non accettare il nuovo incarico», non recano indicazioni circa il soggetto deputato ad effettuare per proprio conto tale valutazione.” (cfr., atto di accertamento, pag. 13). Part In sostanza, contesta a non solo di impedire alla funzione di Risk CP_1
management di svolgere le proprie funzioni, ma, più a fondo, di non indicare l'organo interno preposto alla valutazione sulla prosecuzione o meno dei rapporti contrattuali con la clientela ad alto rischio.
32 Part A fronte di ciò, traspare pertanto l'infondatezza delle difese di , per cui “” era ritenuto del tutto superfluo prevedere la formale accettazione/autorizzazione dei rapporti ad alto rischio di riciclaggio da parte di un organo aziendale gerarchicamente subordinato rispetto al soggetto che già andava ad esprimere, nella sottoscrizione ed accettazione dell'incarico, la legale rappresentanza della Società.
(cfr., atto di opposizione, pag. 22). Come ben evidenziato da in sede ispettiva, CP_1
infatti, detta prospettazione denota la erronea sovrapposizione dei distinti compiti del potere di conclusione dei contratti con quello, successivo ed eventuale, del vaglio specialistico dell'organo antiriciclaggio. Trattasi, invero, di poteri che insistono su diversi profili della commessa: la rappresentanza, inerente a qualsiasi contratto perfezionato in nome della società ed imputato all'esponente aziendale con poteri di firma, e il controllo antiriciclaggio, che compete al Risk management per quei soli contratti che presentino, nella valutazione del rappresentante, elementi indizianti di un rischio elevato di operazioni di riciclaggio.
Non a caso, a mente dell'art. 15, comma 3, del Regolamento Consob, la cui violazione
è stata a RIA addebitata, “Nel caso di assegnazione di un grado di rischio elevato di riciclaggio o di finanziamento del terrorismo, il partner responsabile dell'incarico deve comunicare tale situazione al responsabile della funzione antiriciclaggio e, ove presente, alla funzione di risk management, al fine sia di concordare con quest'ultima il livello di rischio generale di revisione da assegnare al cliente, sia di decidere se accettare/continuare o meno a prestare servizi allo stesso.” Trattasi, perciò, di obbligo autonomo del sistema antiriciclaggio, che non si esaurisce con la conclusione delle commesse ad opera del rappresentante e della cui generale inosservanza ha CP_1
dato debito conto, come detto, tanto dall'esame dei protocolli interni di RIA, quanto dalle risposte della società alle richieste di chiarimento presentate in sede di ispezione.
In particolare, a tale ultimo proposito, si rileva che, per nessuno dei 15 clienti a rischio
“ ” selezionati in sede di ispezione, è stata rinvenuta evidenza del coinvolgimento Pt_3
della funzione di Risk management nella decisione concernente l'opportunità di proseguire i rapporti professionali con costoro.
33 Peraltro, si aggiunga ad ulteriore riprova che, nella parte in cui le sue difese insistono sulla superfluità del controllo della Funzione di Risk management, RIA altro non fa che confermare di avere sistematicamente disatteso la previsione normativa che le viene contestata.
Quanto poi alla seconda parte del gravame, le censure dell'opponente si incentrano sull'inadeguatezza dell'istruttoria, in tesi condotta senza verificare se, prima di comunicare tardivamente alla funzione Antiriciclaggio l'attribuzione del rischio “Alto”
a 7 clienti, il partner avesse adottato in autonomia determinate misure di verifica rafforzata “idonee a mitigare l'elemento di rischio riscontrato”.
Il rilievo non merita accoglimento, se si considera che, ai fini del perfezionamento dell'illecito in questione, basta l'accertamento del ritardo nella segnalazione della clientela sospetta all'ufficio interno, che, come chiarito prima, si è appurato essere la
Funzione di Risk management e non la Funzione Anti riciclaggio.
Trattasi, peraltro, di ritardo significativo (da 8 a 20 mesi a seconda dei casi), che, per conclusione non contestata dell'istruttoria, ha contribuito ad alimentare il rischio di realizzare un'operazione di riciclaggio o di finanziamento al terrorismo: “Il differimento nel tempo della dovuta pianificazione e attuazione di dette misure, infatti, ritarderebbe in modo ingiustificato lo svolgimento di controlli più approfonditi, contabili e non contabili, su clienti già classificati a rischio elevato, con evidente pregiudizio della possibilità di individuazione tempestiva di operatività anomale o sospette” (cfr., pag. 14, atto di accertamento).
L'assunto assume particolare centralità ai fini che interessano, se si considera che, a mente dell'art. 15 richiamato, le misure da adottare nei confronti della clientela a rischio vanno definite di concerto con la funzione Anti-riciclaggio, peraltro solo a seguito dell'assenso della funzione di Risk management, che si è visto sistematicamente pretermesso.
Dette cautele, infatti, muovono dall'esecuzione di verifiche più pervasive sull'assetto partecipativo e di controllo della clientela e presuppongono, inoltre, lo svolgimento di controlli contabili approfonditi sugli incarichi di revisione (cfr., atto di accertamento,
34 pag. 42: “ ad esempio, approfondimento dell'assetto partecipativo e di controllo dei clienti per il riscontro della titolarità effettiva, approfondimento su eventuali notizie pregiudizievoli ed esecuzione di più frequenti controlli su eventuali variazioni della titolarità effettiva e delle notizie pregiudizievoli”).
Da quanto precede, risulta perciò destituita di fondamento la prospettazione del ricorrente, per cui la avrebbe mancato di riscontrare le misure di adeguata CP_1
verifica autonomamente adottate dai partner di revisione, posto che il loro eventuale compimento si rivela comunque insufficiente ai fini del rispetto degli obblighi antiriciclaggio in rapporto alla clientela a rischio.
Si aggiunga poi che alcuna emergenza è stata offerta dal ricorrente circa la loro reale attuazione. Sul punto, si richiama il contenuto degli atti istruttori, dalla cui lettura risulta che “per tutti i 15 clienti esaminati, gli ispettori della hanno richiesto CP_1
ogni evidenza informativa e documentale circa la pianificazione ed attuazione di Part misure rafforzate, accertando, sulla base dei riscontri forniti da , che nessuna misura di adeguata verifica rafforzata era stata “adottata autonomamente” dai
Partner nei lassi temporali compresi tra l'elevazione del rischio e la comunicazione alla Funzione antiriciclaggio.” (cfr. punto richiesta n. 81 in All. 4, Relazione ispettiva,
DOC. 2).
La mancanza di evidenza scritta in ordine all'esecuzione delle misure di adeguata verifica rafforzata costituisce, peraltro, una ulteriore violazione del menzionato dell'art. 15, oltreché una prassi contrastante con le stesse procedure antiriciclaggio della società vigilata. (cfr., pag. 15, atto di accertamento).
Parimenti infondata è la doglianza elevata in ordine alla scarsa rappresentatività del campione selezionato come base dell'ispezione. Sul punto, giova richiamare considerazioni analoghe a quanto già affermato circa le stesse censure svolte sull'addebito sub B): ciascuno dei 7 casi di ritardata comunicazione alla Funzione riciclaggio riguarda clienti diversi, seguiti da partner di riferimento differenti, e, pertanto, riconducibili alla pluralità d situazioni che giustifica il carattere “plurimo” della violazione addebitata.
35 Da ultimo, vale poi sottolineare che l'obiezione di significatività della classe ispezionata risulta, in questo caso, ulteriormente non invocabile, posto che, come ben evidenziato da la selezione dei clienti per il controllo in tema di obblighi CP_1
rafforzati va svolta a partire non dall'intera clientela della società, ma solo considerando quella ad alto rischio. Pertanto, così operato il calcolo, risulta che l'istruttoria è stata condotta su un campione pari al 17% della clientela ad alto rischio e la violazione plurima, invece, riscontrata rispetto all'8% del totale (cfr., atto di accertamento, pag. 42).
6) Con sesto motivo, la ricorrente denuncia che la avrebbe ritenuto connotate CP_1
da “sensibile gravità” le violazioni alla stessa ascritte, trascurando di considerare che esse sarebbero, invece, da reputare di scarsa offensività/pericolosità, alla stregua dei criteri di cui all'art. 67 del D.lgs. n. 231/2007, tenuto conto che la stessa Autorità ha riconosciuto l'assenza di vantaggi per RIA o di danni cagionati a terzi, l'assenza di precedenti illeciti in materia di antiriciclaggio nonché l'adozione da parte della Società di un comportamento collaborativo nel corso dell'ispezione e di azioni di miglioramento.
7) Con settimo motivo, la Società ricorrente - richiamate le già spese osservazioni circa l'asserita “scarsa offensività/pericolosità degli addebiti” accertati - sostiene che la avrebbe dovuto applicare, in alternativa alla sanzione pecuniaria, una delle CP_1
misure previste dall'art. 62, comma 4, del D. Lgs n. 231/2007 – quali “l'ordine di eliminare le infrazioni e di astenersi dal ripeterle” ovvero “una dichiarazione pubblica avente ad oggetto la violazione commessa e il soggetto responsabile” – in ossequio al principio di sussidiarietà, che prevede che debba essere adottata una risposta sanzionatoria idonea e necessaria che, allo stesso tempo, comporti il minor sacrificio possibile per la sfera dei soggetti privati coinvolti.
8) Con ottavo motivo, con specifico riferimento alle carenze di cui alle lett. B e C delle contestazioni, la Società ricorrente sostiene che, in spregio al principio del ne bis in idem, la violazione di una medesima norma, occorsa nello stesso periodo temporale,
36 sia stata contestata due volte ovvero sia come violazione “plurima” che come violazione “sistematica”.
A parere dell'opponente, sarebbe logicamente impossibile che il medesimo comportamento integri al contempo una “violazione sistematica” e una violazione
“plurima”. Si tratterebbe cioè di qualificazioni alternative. Lamenta perciò che l'Autorità, contestando entrambe le condotte rispetto ai medesimi episodi, avrebbe punito due volte lo stesso fatto.
9) Con nono motivo, la società lamenta che la “a fronte della determinazione CP_1
della gravità (meglio sarebbe dire “tenuità”) delle asserite violazioni, individuata, nell'intervallo sanzionatorio tra 3.000 € e 1.000.000 €, in misura corrispondente a
40.000 € (cioè il 4% del massimo edittale), [abbia irrogato] una sanzione di 120.000 €
(il triplo della misura ritenuta corrispondente alla “gravità”) applicando nei fatti una sorta di cumulo materiale di sanzioni che, invece, soggiacerebbero alla specifica norma proprio perché già “gravi, plurime, ripetute o sistematiche' (cfr., ricorso, pag. 28). Part 10) Con decimo motivo di ricorso, , rileva la sproporzione tra la gravità delle violazioni contestate ed il quantum delle sanzioni alla stessa irrogate, considerate le medie dimensioni della Società (con un utile pari a € 156.544 nell'esercizio chiuso il
31 agosto 2023), e tenuto conto dell'importo delle sanzioni che, nel periodo settembre
2021 - settembre 2023, sono state irrogate dalla Banca d'Italia nei confronti di Part intermediari bancari e finanziari – “organizzazioni molto più complesse di , sia per dimensione economica che di personale” – sempre per illeciti in materia di antiriciclaggio.
11) Con undicesimo motivo, l'opponente lamenta vizio di carente motivazione nella delibera sanzionatoria. Deduce in particolare che l'Autorità avrebbe eluso le proprie osservazioni in sede di ispezione e si sarebbe acriticamente appiattita sulle valutazioni svolte dall'ufficio istruttore. Nella prospettazione dell'opponente, invero, mancherebbe nel corpo della delibera un apprezzamento autonomo dell'organo deliberante rispetto alla prova della responsabilità del soggetto vigilato.
37 12) Con ultimo motivo di impugnazione, la ricorrente lamenta che le violazioni contestate non avrebbero riguardato mai incarichi di revisione legale su EIP o ESRI e, Part in alcuni casi, neppure incarichi di revisione legale. Per l'effetto, adduce che gli incarichi sui quali sono state accertate violazioni sarebbero stati “attratti ingiustamente nel perimetro di vigilanza da parte della . CP_1
I motivi 6-12 sono articolati con riguardo all'identica questione dell'importo della sanzione applicata. Sono perciò suscettibili di esame congiunto.
Le impugnazioni sono complessivamente infondate.
Preliminarmente va richiamato quanto rilevato in sede di ispezione, per cui “quanto alla gravità delle violazioni, le stesse sono da considerarsi tutte di sensibile gravità (e ciò a prescindere dal rilievo attribuito dalla normativa di settore a tale carattere onde radicare la competenza a sanzionare della . CP_1
Nel rinviare a quanto evidenziato in sede di trattazione di ciascuno degli illeciti accertati, si ritiene che tutte le irregolarità accertate abbiano inciso su fondamentali presidi procedurali tesi a garantire la funzionalità e l'efficacia dell'articolato meccanismo di prevenzione e contrasto del riciclaggio e del finanziamento del terrorismo previsto dal D. Lgs n. 231/2007 e dalle correlate norme di attuazione ed abbiano generato rilevanti ricadute operative, consistite in ripetute e gravi omissioni di adempimenti doverosi, idonei a ledere in maniera sostanziale importanti beni giuridici protetti dalla normativa AML. In particolare, le violazioni accertate a carico Part di hanno:
- menomato l'attendibilità e fruibilità dei dati ed informazioni della clientela registrati dalla società nei propri sistemi informatici, con l'effetto di rendere arduo e meno attendibile qualsivoglia lavoro di estrazione ed elaborazione massiva delle informazioni ivi conservate, specie considerando l'ingente mole di dati non caricati;

- inciso sull'efficacia e funzionalità del complessivo impianto procedurale della società in tema di determinazione del profilo di rischio di riciclaggio e finanziamento del terrorismo dei propri clienti, con l'effetto di contribuire a determinare plurime
38 attribuzioni di profili di rischio non appropriate e, in taluni casi, la mancata attivazione di doverose misure di adeguata verifica rafforzata;

- concorso a produrre, in una pluralità di casi e per periodi talora rilevanti, la tardiva comunicazione alla Funzione Antiriciclaggio dell'attribuzione del rischio «Alto», necessaria ai fini per la pianificazione di verifiche rafforzate, con la conseguente omessa o tardiva attivazione di doverose misure in tal senso.
L'esame delle tre violazioni – svolto avendo riguardo alle modalità di manifestazione concreta di ciascuna di esse ed agli effetti lesivi cagionati o potenziali - induce a ritenerle sostanzialmente equiparabili tra loro sul piano della gravità d'insieme: infatti, mentre la violazione «A» mostra un ben più consistente numero di condotte omissive, le altre due fattispecie – ancorché connotate da omissioni numericamente ben più circoscritte - presentano una più spiccata attitudine a mettere in pericolo o ledere i beni giuridici protetti dalla normativa antiriciclaggio. Quanto alla durata degli illeciti, la stessa è per tutti sensibilmente protratta nel tempo, variando a seconda dei casi, da quasi un anno e mezzo a quasi due anni”. (cfr., atto di accertamento, pag.
46).
Tanto doverosamente premesso in fatto, si dà atto che le censure dell'opponente non scalfiscono l'impianto argomentativo della delibera.
In particolare, non è fondata la prospettazione, dedotta col sesto motivo, di scarsa offensività delle condotte ascritte.
Sul punto, non può che ribadirsi l'infondatezza di detta impostazione, che sembra obliterare come le violazioni accertate all'esito dell'istruttoria abbiano: inciso sull'attendibilità e fruibilità dei dati ed informazioni della clientela registrati dalla società nei propri sistemi informatici;
contribuito a determinare plurime attribuzioni di profili di rischio non appropriate e, in taluni casi, causato la mancata attivazione di doverose misure di adeguata verifica rafforzata, producendo (in una pluralità di casi e per periodi talora rilevanti) la tardiva comunicazione alla Funzione Antiriciclaggio dell'attribuzione del rischio “Alto”, necessaria per la pianificazione di verifiche rafforzate.
39 In altri termini, da un lato, le condotte addebitate si sono rivelate idonee a ostacolare lo svolgimento delle funzioni ispettive della che ha dovuto estrapolare le CP_1
informazioni rilevanti per la normativa antiriciclaggio a partire da ingenti quantità di dati disorganizzati, non correttamente archiviati e, in taluni casi, inattendibili;
dall'altro le strutturali carenze dell'assetto organizzativo interno hanno provocato, in più casi, profilature antiriciclaggio non appropriate della clientela, oltreché, nei casi rubricati sub C), l'intrattenimento di rapporti professionali gravemente indiziati di finanziare il terrorismo o altri fatti di riciclaggio.
Insomma, sembrano concludenti le valutazioni recate nell'atto di accertamento, per cui “tutte le irregolarità accertate hanno inciso su fondamentali presidi procedurali tesi a garantire la funzionalità e l'efficacia dell'articolato meccanismo di prevenzione
e contrasto del riciclaggio e del finanziamento del terrorismo previsto dal D. Lgs n.
231/2007 e dalle correlate norme di attuazione ed abbiano generato rilevanti ricadute operative, consistite in ripetute e gravi omissioni di adempimenti doverosi, idonei a ledere in maniera sostanziale importanti beni giuridici protetti dalla normativa AML.”
(cfr., atto di accertamento, pag. 46). Il che sembra giustificare la conclusione di CP_1
Part circa la “sensibile gravità” delle condotte addebitate a carico di .
Nondimeno, dette fatti non hanno ricevuto una riposta sanzionatoria altrettanto severa, solo perché ha valutato a favore di RIA proprio le medesime circostanze che CP_1
il ricorrente ha dedotto nel motivo di opposizione. Ed infatti, nonostante la durata considerevole di condotte significativamente rischiose per la tenuta del sistema antiriciclaggio, la ha optato per un importo sanzionatorio di gravità medio- CP_1
bassa in rapporto alla cornice edittale applicabile (euro 40.000 per ciascuna delle violazioni, a fronte di una comminatoria che prevede un minimo di euro 3.000 e un massimo di 1.000.000,00), e tanto in considerazione del fatto che:
“b) tutte le violazioni risultano ascrivibili alla società a titolo di colpa;
Part c) quanto alla capacità finanziaria della società , risulta che la stessa ha registrato ricavi nell'esercizio chiuso il 31 agosto 2022, pari ad euro 21.555 migliaia;

40 d) dagli atti non emergono elementi che rendono compiutamente determinabili i vantaggi ottenuti o le perdite evitate dalla società in correlazione alle irregolarità emerse;

e) non risultano in atti elementi che rendono compiutamente determinabile né
l'esistenza né l'ammontare dei pregiudizi cagionati a terzi in correlazione alle anzidette violazioni;
f) relativamente ai fatti oggetto di contestazione, si registrano forme di collaborazione con la (ancorché doverose) in sede di verifica CP_1
ispettiva;
g) la società di revisione ha, nel tempo, avviato interventi tesi a garantire una più aderente conformità dei propri meccanismi e procedure alle disposizioni del decreto e delle sue norme di attuazione, come, tra l'altro, evidenziato in sede deduttiva;
Part h) non risultano precedenti violazioni da parte di delle disposizioni di cui al D.
Lgs 231/2007 e relative norme di attuazione”. (cfr., ibidem, pag. 47).
Si tratta, a parere del Collegio, di trattamento particolarmente favorevole per delle violazioni di “sensibile gravità”, circostanza che sembra già di per sé ostativa a ventilate ipotesi di eccesso sanzionatorio, come invece RIA insistentemente prospetta.
Si evince, perciò, una ricostruzione della fattispecie antitetica a quella restituita dall'opponente, in cui cioè, a causa di una considerazione congiunta di più attenuanti, un fatto oggettivamente grave è stato sanzionato in modo tenue.
Ciò che vale, peraltro, a rigettare anche la censura rubricata al motivo n. 7, con cui RIA si duole della omessa applicazione, da parte di delle misure non afflittive di CP_1
cui all'art. 62. Sul punto, è bastevole rilevare che i provvedimenti in esame possono essere emessi solo a fronte di violazioni aventi scarsa offensività o pericolosità alla stregua dei criteri di cui all'art. Infatti, ai sensi dell'art. 62 cit. “Per le violazioni delle disposizioni di cui al Titolo II, Capi I, II e di quelle in materia di organizzazione, procedure e controlli interni di cui agli articoli 7, 15 e 16 e delle relative disposizioni attuative, caratterizzate da scarsa offensività o pericolosità alla stregua dei criteri di cui all'articolo 67, le autorità di vigilanza di settore, in alternativa alla sanzione amministrativa pecuniaria, hanno il potere di: a) applicare all'ente responsabile la
41 sanzione consistente nell'ordine di eliminare le infrazioni e di astenersi dal ripeterle, anche indicando le misure da adottare e il termine per attuarle;
b) qualora l'infrazione contestata sia cessata, applicare all'ente responsabile la sanzione consistente in una dichiarazione pubblica avente ad oggetto la violazione commessa e il soggetto responsabile.”
Il che non sembra ricorrere nelle ipotesi oggetto di odierno scrutinio, in cui, pur in presenza di diversi fattori attenuanti, all'opponente è stato contestato di aver pregiudicato l'efficace funzionamento del sistema di prevenzione e contrasto del riciclaggio e del terrorismo di cui al d.lgs. 231/2007.
Con riguardo al motivo n. 8), non merita condivisione l'assunto per cui la abbia CP_1
punito due volte lo stesso fatto materiale, per avere qualificato la condotta di cui ai capi
B) e C) della nota di contestazione, al contempo come “plurima” e “sistematica”.
Ciò che, nella prospettazione dell'opponente, sarebbe un assurdo logico, perché i concetti in questione sarebbero già sul piano semantico alternativi, “non potendosi diversamente comprendere come sia possibile che in ipotesi di violazioni sistematiche, le stesse non siano anche plurime” (cfr., atto di opposizione, pag. 26).
La doglianza è complessivamente infondata, perché appare non considerare l'oggetto dell'addebito.
Con riguardo alle incolpazioni sviluppate sub B), infatti, si è avuto modo di rilevare che il carattere sistematico della violazione di cui all'art. 15 del regolamento CP_1
si appunta sull'incompletezza delle norme aziendali, le quali difetterebbero di precisione quanto alla disciplina dei soggetti/unità organizzative deputati ad effettuare le attività di ricerca di eventuali PEP e notizie pregiudizievoli relative ai clienti e ai titolari effettivi della società di revisione.
Peraltro, la medesima incolpazione è articolata in combinato disposto con l'art. 21del medesimo regolamento, relativo all'obbligo dei revisori di definire, prima dell'accettazione dell'incarico, il profilo di rischio di riciclaggio del cliente sulla base dei fattori ora citati (cfr., dell'art. 21, comma 1, della Delibera n. 20570/2018
Regolamento, ai sensi del quale “i Revisori provvedono a definire, prima
42 dell'accettazione dell'incarico, il profilo di rischio di riciclaggio e di finanziamento del terrorismo attribuibile a ciascun cliente sulla base dei complessivi elementi di valutazione e dei fattori di rischio descritti negli Allegati 1 e 2, ponderati in funzione della loro importanza relativa”).
La contestazione degli illeciti a carattere sistematico investe, perciò, la stessa delineazione dell'assetto antiriciclaggio della società, in tesi inadatto a determinare il profilo di rischio della clientela. Part In senso opposto a quanto dedotto da , invece, la violazione plurima dello stesso articolo 21 riguarda i singoli episodi in cui i Partner della società hanno, concretamente e per loro imperizia, omesso di individuare i fattori di elevato rischio di riciclaggio
(settore di attività economica del cliente o del titolare effettivo, area geografica ecc.) con riferimento ai 16 clienti elencati nella contestazione. In tal caso, l'addebito di violazione plurima abbraccia non le carenze del sistema di determinazione del profilo di rischio antiriciclaggio dei clienti, bensì un insieme di condotte specifiche, consistite in ripetute omissioni di adempimenti doverosi, che, in taluni casi, hanno condotto alla
“mancata attivazione di doverose misure di adeguata verifica rafforzata sui clienti ad alto rischio” (cfr., atto di accertamento, pag. 47).
Difetta, perciò, a monte la stessa possibilità di ravvisare nella vicenda in causa un
“idem” materiale, considerato che violazione sistematica e plurima dell'art. 21 cit. sono articolate, nella contestazione, con riguardo a condotte oggettivamente e temporalmente distinte. Considerazioni del medesimo tenore possono svolgersi con
Part riguardo alla contestazione sub C), dove in modo analogo è stato addebitato a di aver violato sistematicamente e in modo plurimo l'art. 15, comma 3 del Regolamento
(“nel caso di assegnazione di un grado di rischio elevato di riciclaggio o di finanziamento del terrorismo, il partner responsabile dell'incarico deve comunicare tale situazione al responsabile della funzione antiriciclaggio e, ove presente, alla funzione di risk management, al fine sia di concordare con quest'ultima il livello di rischio generale di revisione da assegnare al cliente, sia di decidere se accettare/continuare o meno a prestare servizi allo stesso. Nel caso in cui si decida di
43 accettare/continuare la prestazione del servizio, il partner responsabile dell'incarico stabilisce, con il contributo del responsabile della funzione antiriciclaggio, le misure di rafforzata verifica da applicare e provvede a conservarne evidenza scritta”). Non diversamente da quanto prima esposto, è sufficiente leggere gli elementi a sostegno della contestazione per comprendere che si tratta, a monte, di condotte diverse: infatti, Part con la violazione sistematica dell'art. 15, comma 3 si imputa a di aver contravvenuto “alla disposizione che richiede, in caso di clienti classificati ad elevato rischio di riciclaggio e finanziamento del terrorismo, l'obbligo di comunicazione di tale livello di rischiosità alla Funzione di Risk Management, al fine di decidere se accettare o continuare a prestare gli incarichi professionali” (cfr., atto di accertamento, pag. 15); mentre la violazione plurima della stessa disposizione risiede nei distinti atti Part con cui ha omesso di comunicare alla Funzione antiriciclaggio i dati relativi ai 7 clienti di cui alla tabella C.1.
Anche in questo caso, perciò, è destituita di fondamento la prospettazione, avanzata dall'opponente, di asserita violazione di un “ne bis in idem sostanziale”, in forza della indebita qualificazione plurima dello stesso fatto: è infatti pacifico che le condotte contestate sono state sin dall'origine diverse (cfr., atto di accertamento, pag. 15);
Per lo stesso ordine di ragioni è incoglibile l'assunto recato col nono motivo, per cui
“a fronte della determinazione della gravità (meglio sarebbe dire “tenuità”) delle asserite violazioni, individuata, nell'intervallo sanzionatorio tra 3.000 € e 1.000.000 €, in “misura corrispondente a 40.000 € (cioè il 4% del massimo edittale), è stata irrogata una sanzione di 120.000 € (il triplo della misura ritenuta corrispondente alla
“gravità”) applicando nei fatti una sorta di cumulo materiale di sanzioni che, invece, soggiacerebbero alla specifica norma proprio perché già “gravi, plurime, ripetute o sistematiche” (atto di opposizione, pag. 27).
Rileva invero la Corte che è del tutto erroneo il presupposto da cui muove la difesa, ossia che le sanzioni sarebbero state irrogate in applicazione della medesima disposizione.
44 In realtà, come correttamente ha dedotto la contestazione si sviluppa attorno CP_1
a tre fatti, distinti sul piano materiale e temporale. Part Le incolpazioni, infatti, ascrivono a differenti fattispecie illecite, integrate dall'opponente con più condotte in concorso materiale. (cfr., delibera sanzionatoria pag. 7). Ne consegue che correttamente ha inflitto per ogni violazione CP_1 CP_1
una sanzione specifica, considerato che alla regola generale “tot capita tot poenae” può unicamente derogarsi solo in presenza di una fattispecie di illeciti amministrativi in continuazione (art. 11, l. 689/1981). Nondimeno, una simile circostanza non è stata rilevata in sede istruttoria, né è stata nemmeno allegata dalla stessa ricorrente interessata.
Quanto alle doglianze concernenti il vizio di motivazione e l'asserita sproporzione sanzionatoria del provvedimento (motivi 10 e 11), si osserva quanto segue.
Appare in proposito opportuno il richiamo al costante insegnamento della giurisprudenza di legittimità, per cui, in tema di opposizione a sanzioni amministrative,
“i vizi di motivazione in ordine alle difese presentate dall'interessato in sede amministrativa non comportano la nullità del provvedimento, e quindi l'insussistenza del diritto di credito derivante dalla violazione commessa, in quanto il giudizio di opposizione non ha ad oggetto l'atto ma il rapporto, con conseguente cognizione piena del giudice, che potrà (e dovrà) valutare le deduzioni difensive proposte in sede amministrativa (eventualmente non esaminate o non motivatamente respinte), in quanto riproposte nei motivi di opposizione” (Cass. n.12503/2018; vedi anche Cass.
Sez. Un. 28.1.2010, n. 1786; Cass. 21.5.2018, n. 12503; Cass. n. 12435/2022).
Ed ancora, costituisce approdo pacifico in giurisprudenza il principio per cui
“L'ordinanza-ingiunzione con cui la P.A., disattendendone le deduzioni difensive, irroghi al trasgressore una sanzione amministrativa è censurabile dal giudice dell'opposizione, sotto il profilo del vizio motivazionale, unicamente nel caso in cui sia del tutto priva di motivazione (ovvero questa sia solo apparente) e non anche se la stessa risulti insufficiente, atteso che l'eventuale giudizio di inadeguatezza motivazionale involge una valutazione di merito che non compete al giudice ordinario,
45 concernendo il giudizio di opposizione non l'atto della P.A., ma il rapporto sottostante.” (cfr., Cass., Sez. 2, Sentenza n. 2959 del 16/02/2016).
Talché è precluso al ricorrente dolersi in questa sede della mancata risposta dell'Autorità ai propri rilievi svolti in corso di ispezione, né può sorreggere il motivo Contr in esame la sola circostanza che “l'accoglimento della proposta di sanzione dell da parte della palesa un approccio fortemente acritico rispetto alle CP_1
Cont contestazioni mosse dalla alla Società” (cfr., ultra, atto di opposizione, pag. 30:
“Rispetto alle controdeduzioni che avversano la Relazione dell'USA, la Commissione si è limitata a formulare un'affermazione stringata di poche righe”).
In senso opposto, va invece ribadito che il giudizio di opposizione mira a saggiare la legittimità della pretesa sanzionatoria dell'Amministrazione, ragion per cui o le deduzioni dell'ingiunto, in tesi non prese in considerazione dall'Autorità nel corso del procedimento, si traducono in autonomi motivi di impugnazione, oppure al Giudice dell'opposizione ne è precluso lo scrutinio quanto al profilo della carente motivazione.
Ciò che, nel caso di specie, non è avvenuto, considerato che quanto in questa sede dedotto si è rivelato infondato e che le restanti notazioni di RIA non sono state riproposte nel presente giudizio (cfr., amplius, controdeduzioni di RIA, pag.11, 12 e
13).
Sotto altro aspetto, non merita parimenti accoglimento la censura relativa al vizio di sproporzione della sanzione impugnata.
Ed infatti, deve essere preliminarmente ribadito che “la sanzione amministrativa, avendo appunto funzione sanzionatoria e non risarcitoria, non deve essere necessariamente proporzionale alla consistenza numerica delle violazioni riscontrate, ma deve piuttosto commisurarsi alla lesione del bene giuridico tutelato dalle norme infrante” (cfr., Corte d'Appello di Milano, sentenza n. 5448 del 28 dicembre 2017).
La pertanto, è tenuta ad un vaglio complessivo sulla gravità delle CP_1
condotte contestate e irroga la sanzione avvalendosi dei criteri di commisurazione di cui all'art. 67 del d.lgs. 231/2007: in particolare, la citata disposizione contempla “a) la gravità e durata della violazione;
b) il grado di responsabilità della persona fisica
46 o giuridica;
c) la capacità finanziaria della persona fisica o giuridica responsabile;
d)
l'entità del vantaggio ottenuto o delle perdite evitate per effetto della violazione, nella misura in cui siano determinabili;
e) l'entità del pregiudizio cagionato a terzi per effetto della violazione, nella misura in cui sia determinabile;
f) il livello di cooperazione con le autorità di cui all'articolo 21, comma 2, lettera a) prestato della persona fisica o giuridica responsabile;
g) l'adozione di adeguate procedure di valutazione e mitigazione del rischio di riciclaggio e di finanziamento del terrorismo, commisurate alla natura dell'attività svolta e alle dimensioni dei soggetti obbligati;
h) le precedenti violazioni delle disposizioni di cui al presente decreto”.
Rispetto al caso in scrutinio, si dà atto che la delibera impugnata ha considerato ciascuno dei parametri ora richiamati, valutando nel complesso le violazioni ascritte di
“sensibile gravità” rispetto ai beni giuridici tutelati dalle norme antiriciclaggio. Va però rimarcato che la predetta qualificazione non ha comunque impedito a di CP_1
orientarsi verso un trattamento sanzionatorio piuttosto benevolo, se si considera, come dalla stessa opponente ammesso, che è stato ingiunto il pagamento di una somma collocantesi in una fascia di medio bassa gravità della comminatoria edittale (4% del massimo edittale per ciascun illecito).
Né può valere a smentire questa conclusione l'argomento dell'opponente, per cui l'importo sanzionatorio di euro 120.000,00 sarebbe sbilanciato in eccesso rispetto alla Part capacità economica di , che registrerebbe- in tesi - un utile pari a euro 156.544,00 all'esercizio chiuso il 31/08/2023. Trattasi, ad avviso della Corte, di rilievo inconferente e tanto perché, come correttamente esposto da il giudizio di CP_1
commisurazione si svolge in rapporto a tutti i parametri normativi di cui al citato art. 67 d.lgs. 231/2007, e non, quindi, con accento particolare su uno solo di essi, cioè
l'utile societario.
In aggiunta, giova comunque ricordare che la sanzione risulta soggettivamente proporzionata, se la sua gravità è commisurata anche alle dimensioni dei soggetti obbligati (cfr., art. 67 d.lgs. cit., che tra gli indici valutativi del quantum sanzionatorio annovera: “; g) l'adozione di adeguate procedure di valutazione e mitigazione del
47 rischio di riciclaggio e di finanziamento del terrorismo, commisurate alla natura dell'attività svolta e alle dimensioni dei soggetti obbligati).
In quest'ottica, si evidenzia che dalla documentazione risulta che l'opponente è una società di revisione di grandezza medio-elevata, attiva con 15 sedi su tutto il territorio nazionale, 14 partner, 250 professionisti, 1417 clienti e 2044 incarichi professionali.
Ciò che ulteriormente depone per la mitezza dell'importo sanzionatorio concretamente Part ingiunto a , a carico della quale sono state riscontrate falle organizzative e strutturali in punto di assolvimento delle cautele antiriciclaggio, che risultano ingiustificabili se rapportate alla sua entità professionale.
Non è parimenti fondata l'ultima censura, relativa alla inapplicabilità dei poteri di supervisione della al caso di specie, in cui, cioè, “nessuna delle prestazioni CP_1
professionali su cui sono mossi rilievi è riconducibile al perimetro degli incarichi che legittima la “supervisione rafforzata”, posta alla base della attribuzione della vigilanza alla (cfr., atto di opposizione, pag. 32). Nella prospettazione CP_1
dell'opponente, infatti, le violazioni contestate non riguarderebbero in nessun caso incarichi di revisione legale su enti di interesse pubblico o enti sottoposti a regime intermedio, i quali incarichi sarebbero, a mente degli artt. 7 e 3, comma 4, del d.lgs.
231/2007, gli unici a giustificare la competenza sanzionatoria dell'Autorità.
Tuttavia, rileva la Corte che, a mente dell'art. 62, comma 5, d.lgs. 231/2007, nel testo vigente al tempo dei fatti, “ Nei confronti dei revisori legali e delle società di revisione legale con incarichi di revisione su enti di interesse pubblico o su enti sottoposti a regime intermedio responsabili di violazioni gravi, ripetute o sistematiche ovvero plurime delle disposizioni di cui al Titolo II, Capi I, II e III, di quelle in materia di organizzazione, procedure e controlli interni di cui agli articoli 7, 15 e 16, delle relative disposizioni attuative adottate dalla si applica la sanzione CP_1
amministrativa pecuniaria da euro 3.000 a 1.000.000 di euro.” e che, per orientamento espresso anche da questa Corte, “il D. Lgs. n. 231/07 – che opera su un piano generale
e più ampio della normativa sulla revisione legale, di cui al D. Lgs n. 39/2010 – include tra i soggetti “obbligati” (definiti all'art. 3) le società di revisione legale con incarichi
48 di revisione legale su enti di interesse pubblico o su enti sottoposti a regime intermedio, senza limitare l'assolvimento degli obblighi AML a specifiche tipologie di clienti (ad es. o di incarichi professionali (solo di revisione)” (Corte d'Appello di CP_7
Milano, sentenza n. 1111/2023).
È perciò sufficiente a radicare la competenza della la duplice circostanza che CP_1
sia contestata una “violazione grave, ripetuta o sistematica” degli illeciti antiriciclaggio e che il sanzionato abbia ricevuto almeno un incarico di revisione da parte di un ente di interesse pubblico o di un ente sottoposto a regime intermedio.
Non vale quindi ad escludere i poteri di controllo e di sanzione della la CP_1
circostanza, per vero eventuale, che le violazioni contestate siano riferibili a incarichi non appartenenti in senso stretto alla materia della revisione, o che l'illecito sia stato addebitato con riguardo ad una controparte non qualificabile come “ente di interesse pubblico o a regime intermedio”.
Ciò che rileva a tal fine è che la società, in ragione di alcuni rapporti con la clientela qualificata ai sensi dell'impianto normativo del d.lgs. 231/2007, risulti sottoposta agli obblighi regolamentari della e che ad essi abbia gravemente trasgredito. Il che CP_1
Part ricorre nel caso di specie, posto che non ha mai negato lo svolgimento di prestazioni di revisione alle controparti rilevanti per il controllo della come CP_1
del resto risulta ampiamente dall'esame dei documenti dell'opponente.
L'opposizione , conclusivamente, deve essere rigettata e la sanzione confermata.
Alla dichiarazione di infondatezza segue la condanna della parte appellante alle spese di lite, liquidate in dispositivo sulla base dei parametri previsti dal D.M. 55/14 e succ. mod. e secondo i valori medi delle Tabelle allegate, tenuto conto del valore della controversia (€ 120.000,00), delle questioni di diritto affrontate, dell'attività difensiva svolta.


P.Q.M.


La Corte d'Appello di Milano, come sopra composta, disattesa o assorbita ogni contraria o ulteriore domanda, istanza ed eccezione, sul gravame proposto da
[...]
nei confronti di avverso la delibera n. 22980 Parte_1 CP_1
49 del 25 gennaio 2024 della predetta, definitivamente pronunciando nel contraddittorio delle parti, così provvede:

1. rigetta il ricorso proposto da e, per l'effetto, Parte_1
conferma la delibera impugnata;

2. condanna da a rifondere a le spese Parte_1 CP_1
di lite del presente grado di giudizio, liquidate in euro 14.317,00 per compensi, oltre rimborso forfettario nella misura del 15% e oltre Iva e C.p.a.
Così deciso in Milano il 16 Aprile 2025
Il consigliere estensore Il Presidente
Alessandra Arceri Serena Baccolini
50