La gestione integrata del rischio di criminalità finanziaria secondo un approccio esteso all’intera organizzazione deve, nel suo significato più fondamentale, essere intesa come un principio istituzionale di ordinamento che investe l’intera architettura organizzativa e che trasferisce il presidio della criminalità finanziaria dalla sfera della specializzazione funzionale a quella della responsabilità generale di governance, della consapevolezza organizzativa di sé e della coerenza normativa. Un simile approccio si fonda sul riconoscimento del fatto che il rischio di criminalità finanziaria raramente si limita a un singolo processo delimitato, a un singolo punto di controllo o a una singola funzione specialistica, ma si manifesta invece nell’interazione tra strategia, espansione commerciale, architettura dei prodotti, eseguibilità operativa, qualità dei dati, scelte di progettazione tecnologica, meccanismi di escalation, incentivi del personale e assunzione delle decisioni a livello di governance. Di conseguenza, la gestione integrata del rischio di criminalità finanziaria non viene concepita come un dominio di controllo accessorio aggiunto al modello di business dopo che le decisioni essenziali sono già state assunte, ma come una condizione costitutiva della credibilità, della sostenibilità e della governabilità dello stesso modello di business. In questo approccio, la questione dell’integrità non viene ridotta all’esistenza di policy, procedure o team specialistici, ma viene collegata a una domanda più profonda, vale a dire se l’organizzazione, nel proprio funzionamento effettivo, riconosca tempestivamente i segnali, tolleri le frizioni rilevanti, custodisca i confini normativi e corregga le contraddizioni interne prima che esse si traducano in vulnerabilità strutturali. L’idea centrale non è quindi che ogni funzione debba trasformarsi in una funzione di compliance, bensì che ogni funzione debba configurare le proprie decisioni, i propri incentivi, i propri dati e le proprie scelte operative in modo tale che il rischio di criminalità finanziaria non venga generato, trasferito, occultato o aggravato altrove nell’organizzazione.
Un approccio realmente esteso all’intera organizzazione alla gestione integrata del rischio di criminalità finanziaria presuppone inoltre che la nozione di integrità venga ridefinita in termini istituzionali. L’integrità, in questo contesto, non è né un semplice appello morale, né un messaggio reputazionale, né un insieme di obblighi formali che coesistono parallelamente agli obiettivi commerciali. L’integrità deve invece essere intesa come un principio ordinatore che determina in che modo le scelte strategiche vengono delimitate, come l’appetito per il rischio viene effettivamente concretizzato, come le eccezioni vengono valutate, come le informazioni circolano tra le funzioni, come la leadership affronta le tensioni tra crescita e presidio, e come un’organizzazione evita che razionalità individuali a livello dipartimentale si traducano in un’irrazionalità collettiva a livello istituzionale. Molti gravi incidenti in materia di integrità non si verificano infatti perché singoli team omettono del tutto di svolgere i propri compiti, ma perché diverse componenti dell’organizzazione agiscono ciascuna in modo razionale secondo la propria logica di performance, mentre l’insieme si disallinea sul piano normativo e operativo. Lo sviluppo dei prodotti ottimizza la facilità d’uso, la direzione commerciale aumenta i volumi, le operations accelerano i tempi di lavorazione, la tecnologia rafforza la scalabilità e il management persegue l’efficienza, senza che venga sufficientemente riconosciuto il fatto che proprio la combinazione di queste scelte, apparentemente legittime, possa accrescere il potenziale di abuso dell’istituzione. La gestione integrata del rischio di criminalità finanziaria secondo un approccio esteso all’intera organizzazione mira a sostituire questa razionalità frammentata con una forma di coerenza istituzionale nella quale strategia, cultura, governance, processi e dati non esistono l’uno accanto all’altro come elementi disgiunti, ma si limitano, si chiariscono e si disciplinano reciprocamente.
L’intera organizzazione come approccio esteso all’intera organizzazione
L’intera organizzazione come approccio esteso all’intera organizzazione significa che la gestione integrata del rischio di criminalità finanziaria non può essere ridotta all’ambito della compliance, della funzione legale, delle operazioni di contrasto alla criminalità finanziaria o dell’internal audit, poiché la criminalità finanziaria, nella pratica, si sviluppa lungo l’intera catena del valore dell’istituzione e sfrutta precisamente quei passaggi organizzativi nei quali le responsabilità sono diffuse, le informazioni frammentate e le valutazioni normative implicite. L’approccio esteso all’intera organizzazione sposta quindi la prospettiva dal controllo ex post alla progettazione istituzionale ex ante. Ciò che diviene centrale non è la questione di quale funzione specialistica debba assorbire un determinato incidente, bensì la questione, più penetrante, di come l’organizzazione nel suo complesso sia stata progettata in modo da non produrre sistematicamente opportunità di abuso sotto il vessillo della razionalità commerciale, della rapidità operativa o dell’innovazione tecnologica. In un simile approccio, la criminalità finanziaria non viene considerata come un fenomeno esterno che può essere filtrato all’ingresso da un numero limitato di team esperti, ma come un rischio che può essere governato efficacemente solo se l’istituzione percepisce sé stessa come un unico sistema integrato di decisioni, incentivi, processi e flussi informativi. Questo carattere sistemico è decisivo, perché il panorama delle minacce non si limita a debolezze isolate, ma si alimenta di una ripartizione imprecisa delle responsabilità, di segnali contraddittori provenienti dal vertice, di una connettività insufficiente dei dati, di percorsi di escalation frammentati e della tendenza strutturale delle organizzazioni a trasferire i rischi scomodi verso funzioni con minore potere e maggiore onere esecutivo.
La natura trasversale della gestione integrata del rischio di criminalità finanziaria richiede pertanto una concezione della governance nella quale ogni funzione centrale dell’istituzione sia chiamata a rispondere del proprio contributo alla produzione, al presidio o all’aggravamento del rischio di criminalità finanziaria. La strategia determina quali mercati, quali segmenti di clientela, quali canali distributivi e quali traiettorie di crescita vengano selezionati. Lo sviluppo dei prodotti determina quali funzionalità, quali modalità di utilizzo e quali percorsi di eccezione diventino disponibili. Le operations determinano con quale rapidità, con quale livello di accuratezza e sulla base di quali informazioni le anomalie vengano valutate. La tecnologia determina quali segnali divengano visibili, quali schemi rimangano rilevabili e quali decisioni automatizzate acquisiscano, di fatto, un effetto normativo. Le risorse umane determinano quali comportamenti siano premiati, quali forme di dissenso producano costi di carriera e quali profili di leadership divengano dominanti. Gli acquisti e la gestione delle terze parti determinano in quale misura le catene di esternalizzazione creino esposizioni ulteriori. La tesoreria e la finanza determinano quali flussi transazionali, quali strutture di liquidità e quali interfacce interne richiedano un grado di vigilanza accresciuto. La comunicazione e gli affari istituzionali determinano il modo in cui gli incidenti vengano interpretati internamente ed esternamente. Nel momento in cui anche una sola di queste funzioni si colloca al di fuori dell’ambito della gestione integrata del rischio di criminalità finanziaria, si crea una finzione istituzionale nella quale il rischio viene imputato alle funzioni di controllo specialistiche mentre la sua effettiva produzione avviene altrove. L’approccio esteso all’intera organizzazione corregge tale finzione stabilendo che il rischio di criminalità finanziaria appartiene alla governabilità collettiva e non alla sola competenza funzionale.
L’approccio esteso all’intera organizzazione assume così un significato più esigente rispetto al consueto richiamo alla cooperazione o alla collaborazione interfunzionale. Non si tratta né di consultazioni occasionali, né di un ampliamento cosmetico degli organi di governance nei quali più funzioni siano formalmente rappresentate senza che le loro interdipendenze vengano realmente analizzate. Si tratta di un profondo riordino istituzionale nel quale diventa visibile il fatto che la qualità della gestione integrata del rischio di criminalità finanziaria dipende dal grado in cui l’organizzazione compie al proprio interno scelte coerenti in materia di crescita, accettazione della clientela, logica di prodotto, diritti di escalation, titolarità dei dati, governance dei modelli, gestione delle eccezioni e capacità di rimedio. Un approccio esteso all’intera organizzazione richiede pertanto non solo il coinvolgimento di più funzioni, ma anche una comprensione condivisa dei limiti normativi e operativi entro cui l’istituzione intende creare valore. In assenza di tale comprensione comune, si forma uno schema nel quale ogni funzione ottimizza i propri criteri di successo mentre l’istituzione, nel suo complesso, diviene progressivamente più vulnerabile agli abusi, agli interventi delle autorità di vigilanza, al danno reputazionale e all’erosione interna della consapevolezza normativa. In questo senso, l’approccio esteso all’intera organizzazione non è un programma aggiuntivo, bensì una cartina di tornasole per stabilire se l’istituzione governi realmente sé stessa come un’impresa integrata o se funzioni semplicemente come un insieme di sottosistemi che non si correggono reciprocamente in misura sufficiente sul piano della governance.
Strategia, cultura, governance, processi e dati in coerenza
La gestione integrata del rischio di criminalità finanziaria può funzionare in modo sostenibile solo quando strategia, cultura, governance, processi e dati non vengono trattati come strati di controllo separati, ma come componenti interdipendenti di un’unica architettura istituzionale. Una strategia senza cultura produce ambizione astratta priva di ancoraggio normativo. Una cultura senza governance rimane sospesa in aspettative simboliche prive di conseguenze decisionali. Una governance senza processi genera una supervisione formale priva di effettiva eseguibilità. Processi senza dati degenerano in un controllo ritualizzato privo di autentico valore informativo. Dati privi di contesto strategico e normativo producono, a loro volta, una sofisticazione tecnica priva di comprensione istituzionale di ciò che è realmente rischioso, sproporzionato o rilevante ai fini della governance. L’esigenza di coerenza significa pertanto che un’organizzazione non può limitarsi a investimenti isolati in documenti di policy, programmi di formazione, tecnologie di monitoraggio o strutture di reporting quando tali elementi non siano incorporati in un modello coerente che spieghi come l’istituzione comprenda, gerarchizzi e governi i propri rischi di criminalità finanziaria. La domanda più profonda è sempre se l’organizzazione sia in grado di mantenere una medesima linea normativa attraverso l’ambizione strategica, l’esecuzione operativa, le informazioni di management, la gestione del personale e l’infrastruttura tecnologica. Laddove tale linea sia assente, emerge una situazione al tempo stesso familiare e pericolosa nella quale l’istituzione appare rigorosa sulla carta, selettiva a livello operativo, permissiva nella prassi commerciale e frammentaria nel trattamento tecnico-informativo.
La componente strategica merita a questo riguardo un’attenzione particolare, poiché molte carenze nella gestione integrata del rischio di criminalità finanziaria traggono origine da scelte strategiche che non vengono, o non vengono sufficientemente, tradotte in capacità di presidio e in limiti normativi. Un’istituzione che punti su una rapida espansione internazionale, su una crescita digitale di scala, su un onboarding accelerato, sulla piattaformizzazione o sull’accesso a segmenti di clientela più complessi accresce non solo il proprio potenziale di ricavi, ma anche la varietà, la velocità e l’ambiguità dei rischi che deve comprendere e governare. Quando tale movimento strategico non è accompagnato da scelte esplicite in materia di appetito per il rischio, allocazione delle risorse, diritti decisionali, raccolta dei dati e infrastruttura di escalation, emerge uno scarto strutturale tra la direzione nella quale l’organizzazione intende muoversi e ciò che essa è effettivamente in grado di presidiare. La cultura diviene allora il mezzo attraverso il quale tale scarto viene normalizzato oppure corretto. Una cultura che comunichi implicitamente che la pressione sui ricavi, il tempismo di mercato o la comodità del cliente debbano sempre prevalere svuoterà di sostanza qualsiasi struttura di governance, per quanto raffinata possa essere la sua impostazione formale. Una cultura che accetti la frizione, legittimi il dubbio normativo e non sanzioni l’escalation rafforza invece il funzionamento della governance, poiché consente alle funzioni non solo di segnalare il rischio, ma anche di renderlo rilevante sul piano della governance. La coerenza tra strategia e cultura non è quindi affatto accessoria, ma determina se, nella pratica, la gestione integrata del rischio di criminalità finanziaria operi come un freno all’autodanno istituzionale oppure come un meccanismo correttivo decorativo applicato a posteriori.
La coerenza tra governance, processi e dati è poi determinante per stabilire se l’istituzione sia effettivamente in grado di vedere e governare i propri rischi. La governance, in questo contesto, non deve essere intesa come un insieme di organigrammi e comitati, ma come la totalità delle strutture decisionali formali e sostanziali mediante le quali l’istituzione ordina le scelte rilevanti ai fini del rischio, valuta le eccezioni, risolve i conflitti tra funzioni e trasforma le informazioni in azione di governance. Una simile governance perde immediatamente credibilità quando i processi non descrivano in modo chiaro il modo in cui i segnali vengono generati, valutati, portati in escalation, documentati e reimmessi nel sistema. Tuttavia, i processi perdono altrettanto significato quando i dati sottostanti siano incompleti, incoerenti, poveri di contesto o inaccessibili. La qualità delle informazioni relative alla clientela, dei dati transazionali, della registrazione degli eventi, della storia dei casi, della documentazione dei modelli, delle registrazioni degli override e delle informazioni di management determina in larga misura quale realtà divenga visibile per l’organizzazione e quale invece rimanga invisibile. Un’istituzione non può sostenere in modo credibile che la propria gestione integrata del rischio di criminalità finanziaria sia matura quando il senior management riferisca su indicatori che rappresentano solo parzialmente la realtà operativa, quando diverse funzioni lavorino con definizioni divergenti del medesimo rischio, oppure quando decisioni critiche non siano riproducibili poiché la relativa base dati è frammentata tra sistemi, workaround manuali e depositari informali di conoscenza. La coerenza significa pertanto che la strategia fornisce direzione, la cultura apporta disciplina normativa, la governance struttura i diritti decisionali, i processi stabilizzano l’esecuzione e i dati permettono all’istituzione di percepire sé stessa in modo veritiero.
Perché il governo dell’integrità fallisce in assenza di coerenza interna
Il governo dell’integrità fallisce in assenza di coerenza interna perché nessun framework di controllo può resistere a un’organizzazione che trasmetta messaggi contraddittori su ciò che considera realmente importante. Quando il consiglio, il business, le operations e le funzioni di controllo parlano formalmente di tolleranza zero nei confronti della criminalità finanziaria, ma in realtà si comportano come se l’accelerazione della crescita, la retention della clientela, la conversione dei ricavi o l’alleggerimento dei processi dovessero prevalere non appena la frizione divenga tangibile, si forma un’ambiguità istituzionale che mina ogni meccanismo della gestione integrata del rischio di criminalità finanziaria. Tale erosione raramente si manifesta in modo spettacolare e quasi mai attraverso un rigetto aperto delle norme di integrità. Molto più spesso, essa assume la forma di eccezioni apparentemente pragmatiche, di decisioni rinviate in modo informale, di pressioni implicite sui tempi di lavorazione, di un restringimento della costruzione del fascicolo, di una normalizzazione di dati incompleti, di un ampliamento del margine interpretativo o di un evitamento, a livello di governance, delle pratiche commercialmente sensibili. L’incoerenza interna porta il personale a comprendere ciò che l’organizzazione premia realmente, anche quando ciò diverga dai messaggi formali. Nel momento in cui tale divario diventa strutturale, la gestione integrata del rischio di criminalità finanziaria passa dall’essere una priorità organizzativa credibile a una norma applicabile solo a determinate condizioni, destinata a sussistere soltanto finché non imponga costi sostanziali. È proprio in quel momento che il governo dell’integrità perde la propria forza preventiva e si trasforma in una gestione reattiva del danno.
La coerenza interna non è soltanto una questione di chiarezza morale, ma anche di affidabilità operativa. Un’organizzazione nella quale la progettazione del prodotto agevoli funzionalità che aumentano il rischio, mentre alle operations viene richiesto di assorbirne manualmente le conseguenze, crea uno scarto strutturale tra scelta progettuale e capacità esecutiva. Un’organizzazione nella quale i team commerciali siano guidati verso la crescita dei volumi senza una sufficiente traduzione del profilo cliente, della complessità transazionale o del carico di rivalutazione trasforma la gestione integrata del rischio di criminalità finanziaria in una permanente azione di retroguardia. Un’organizzazione nella quale la data science sviluppi modelli sulla base di indicatori di performance tecnici senza un sufficiente ancoraggio nel contesto giuridico, etico e operativo può certamente produrre un’apparente sofisticazione, ma in realtà costruisce nuove forme di opacità e dipendenza dalla governance. Il governo dell’integrità fallisce altresì quando la seconda linea sia formalmente incaricata della sfida normativa, ma non disponga, nella pratica, di accesso, autorità o coinvolgimento sufficientemente tempestivi per influenzare in modo sostanziale le decisioni strategiche e progettuali. La coerenza interna significa pertanto che ambizioni, mandati, risorse, informazioni e incentivi sono allineati. Laddove tale allineamento manchi, il peso dell’incoerenza ricade sui margini operativi dell’organizzazione, dove il personale deve gestire eccezioni, prioritizzare alert e valutare fascicoli incompleti sotto una pressione temporale generata altrove.
La conseguenza più problematica dell’assenza di coerenza interna è che l’organizzazione finisce per normalizzare le proprie vulnerabilità. Non perché i rischi siano invisibili, ma perché essi vengono reinterpretati a livello di governance come incidenti, malattie di crescita, problemi di capacità o tensioni temporanee legate all’espansione, mentre in realtà esprimono fallimenti di progettazione più profondi. L’incoerenza crea un contesto nel quale ogni parte dell’organizzazione può fornire spiegazioni plausibili a problemi parziali, mentre nessuno assume la responsabilità dell’intero schema. Il senior management vede dashboard prive di piena visibilità sulle frizioni operative. Le operations subiscono una pressione di carico senza avere piena influenza sulle decisioni assunte a monte. Le funzioni di controllo identificano carenze, ma si scontrano con una accountability diffusa. La tecnologia produce soluzioni che creano nuove dipendenze. Le risorse umane premiano schemi di performance suscettibili di entrare in tensione con una condotta prudente. Ne deriva un’istituzione che sembra disporre di un’intensa attività di presidio, ma il cui governo dell’integrità fallisce sul piano sostanziale perché, al proprio interno, non segue la medesima linea normativa in materia di decisione, remunerazione, progettazione, esecuzione e rimedio. Senza coerenza interna, le misure di controllo rimangono formalmente in essere, ma operano controcorrente rispetto alla dinamica istituzionale. Ciò rende il presidio più costoso, più lento, più conflittuale e, in definitiva, meno credibile agli occhi delle autorità di vigilanza, delle controparti, della clientela e dell’organizzazione stessa.
Il ruolo della leadership, dell’accountability e della struttura decisionale
Nel quadro della gestione integrata del rischio di criminalità finanziaria, la leadership svolge un ruolo che va sensibilmente oltre la comunicazione di messaggi normativi o il sostegno, a un livello astratto, alle iniziative di compliance. Nella pratica, la leadership determina il modo in cui l’istituzione organizza la tensione tra ambizione commerciale e contenimento normativo, il modo in cui le eccezioni vengono ponderate, quali rischi restano discutibili e quali forme di dissenso beneficiano di una protezione effettiva. Quando la leadership tratta il presidio della criminalità finanziaria come una condizione periferica da integrare nella strategia di crescita nel modo più discreto possibile, si forma un clima nel quale la frizione viene considerata un problema esecutivo piuttosto che un necessario meccanismo correttivo. Quando, al contrario, la leadership agisce in modo visibile e coerente a partire dal principio secondo cui la gestione integrata del rischio di criminalità finanziaria costituisce una condizione centrale della sostenibilità istituzionale, il significato dell’integrità si sposta dall’obbligo di compliance alla realtà della governance. Tale differenza non emerge soltanto nei discorsi, nelle riunioni plenarie o nei codici di condotta, ma nel modo in cui i budget vengono allocati, le escalation vengono ricevute, i casi difficili vengono decisi, le eccezioni vengono rifiutate e le performance vengono valutate. La leadership produce in questo ambito un effetto materiale poiché rende visibile la gerarchia normativa dell’istituzione: quali obiettivi possano cedere, quali segnali ricevano priorità e quali voci funzionali abbiano accesso ai luoghi in cui vengono assunte le scelte strategiche.
L’accountability costituisce il necessario complemento della leadership, poiché un’ambizione normativa priva di una chiara attribuzione delle responsabilità si dissolve rapidamente in un linguaggio collettivo senza un effettivo carico decisionale individuale. In un approccio esteso all’intera organizzazione applicato alla gestione integrata del rischio di criminalità finanziaria, accountability non significa che tutte le funzioni portino la medesima responsabilità, ma che ciascuna funzione sia responsabile in modo tracciabile delle conseguenze, sotto il profilo dell’integrità, delle proprie decisioni e omissioni. Lo sviluppo dei prodotti deve rispondere delle scelte progettuali sensibili all’abuso. La direzione commerciale deve rispondere della strategia di clientela e della guida dei volumi che generano un’intensità di rischio ulteriore. Le operations devono rispondere della qualità, della disciplina dell’escalation e dell’integrità dei fascicoli. La tecnologia deve rispondere della trasparenza dei modelli, dell’integrità dei dati e della controllabilità delle decisioni automatizzate. La seconda linea deve rispondere della qualità della challenge, della sua robustezza sostanziale, della sua tempestività e della sua indipendenza. L’internal audit deve rispondere della verifica della coerenza strutturale piuttosto che della sola presenza procedurale. Nel momento in cui l’accountability rimanga diffusa, l’organizzazione trasferisce il rischio verso astrazioni collettive nelle quali tutti sono coinvolti ma nessuno è responsabile. Questo schema è particolarmente dannoso nell’ambito della criminalità finanziaria, poiché molte disfunzioni di integrità emergono nelle aree di confine tra funzioni, là dove le descrizioni formali dei ruoli terminano ma l’impatto decisionale sostanziale continua.
La struttura decisionale costituisce infine la traduzione istituzionale della leadership e dell’accountability in una pratica di governance ripetibile. Non sono soltanto la sostanza delle decisioni, ma anche il luogo, il momento, la composizione e la base informativa del processo decisionale a determinare se la gestione integrata del rischio di criminalità finanziaria influenzi realmente la direzione dell’istituzione. Una struttura decisionale che consulti le funzioni di controllo solo quando il prodotto, l’ingresso sul mercato o la proposta commerciale siano già sostanzialmente avanzati riduce il presidio dell’integrità a una mitigazione residuale. Una struttura nella quale le escalation debbano attraversare molteplici livelli di management prima che la frizione normativa acquisisca peso a livello di governance aumenta la probabilità di ritardi, attenuazioni o aggiramenti informali. Una struttura nella quale le eccezioni vengano approvate in modo opaco, oppure nella quale la titolarità dell’accettazione del rischio non venga registrata esplicitamente, rende quasi impossibili l’apprendimento e il controllo ex post. Una struttura decisionale matura nell’ambito della gestione integrata del rischio di criminalità finanziaria richiede pertanto diritti di escalation chiari, una governance esplicita dell’accettazione del rischio, il coinvolgimento tempestivo delle funzioni pertinenti, una formazione del fascicolo che renda riproducibile il ragionamento, e una cultura di governance nella quale l’enunciazione di limiti normativi non venga confusa con una carenza di comprensione commerciale. Solo a tale condizione emerge un’istituzione nella quale la leadership non si fonda sulla sola intenzione, l’accountability non si dissolve nella collettività e il processo decisionale non riproduce silenziosamente le vulnerabilità che il sistema è chiamato a presidiare.
Cultura organizzativa, consapevolezza normativa e capacità esecutiva
La cultura organizzativa determina in larga misura se la gestione integrata del rischio di criminalità finanziaria funzioni, nella pratica quotidiana, come un principio vivente di ordinamento oppure come una sovrastruttura formale poggiante su una diversa logica implicita. La cultura non si manifesta qui in dichiarazioni valoriali meramente aspirazionali, ma in aspettative condivise circa ciò che viene considerato sensato, leale, efficiente, coraggioso oppure ostativo quando le questioni di integrità entrano in collisione con la velocità, con l’interesse della clientela, con la pressione sui ricavi o con le preferenze gerarchiche. Una cultura che prenda sul serio il rischio di criminalità finanziaria si caratterizza per la normalizzazione dell’interrogazione critica, per l’accettazione del ritardo quando i fatti lo richiedano, per la disponibilità a rinunciare a vantaggi commerciali quando vengano raggiunti limiti normativi, e per la protezione istituzionale del personale che identifichi incoerenze rischiose. Una cultura che non faccia ciò produce uno schema sottile ma potente di autocensura, razionalizzazione e spostamento. Il personale allora non apprende ciò che è scritto nelle policy, bensì ciò che, nella pratica, è sicuro per la carriera, desiderabile sul piano relazionale e fattibile sul piano operativo. Nel momento in cui tale ambiente di apprendimento informale comunichi che l’escalation è difficile, che il dubbio richiede tempo, che i ricavi sono urgenti e che le eccezioni siano ben accolte dalla governance purché non vengano esplicitamente qualificate come problematiche, la gestione integrata del rischio di criminalità finanziaria perde la propria profondità normativa e diventa un framework procedurale che si impara a navigare anziché a interiorizzare.
La consapevolezza normativa svolge, all’interno di tale cultura, un ruolo autonomo, poiché la qualità del presidio dell’integrità non dipende soltanto dalla conoscenza delle regole, ma anche dalla comprensione delle ragioni per cui determinati limiti esistano, del modo in cui si sviluppino le logiche di abuso e del danno istituzionale che si produce quando comportamenti formalmente ammissibili contribuiscano, sul piano sostanziale, a esiti indesiderabili. Un’organizzazione dotata di una forte consapevolezza normativa comprende che l’assenza di un divieto esplicito non equivale all’ammissibilità, che la forma giuridica non coincide sempre con la prudenza istituzionale, e che i segnali di criminalità finanziaria raramente si presentano in forma completa e non ambigua. Una simile consapevolezza normativa è essenziale perché molte decisioni rilevanti vengono assunte in condizioni di incertezza, di pressione temporale e di asimmetria informativa. Laddove la consapevolezza normativa sia debole, si instaura una dipendenza da comportamenti di checklist, da un’interpretazione minimale e da escalation riservate ai soli casi evidenti. Ciò crea un punto cieco rispetto a schemi cumulativi o trasversali che possano apparire spiegabili se considerati isolatamente, ma che, nel loro insieme, rivelano un rischio strutturale. Una forte consapevolezza normativa consente invece di pensare oltre le categorie formali, di individuare comportamenti che possono apparire tecnicamente conformi ma risultare istituzionalmente destabilizzanti, e di condurre la discussione sull’appetito per il rischio in termini di responsabilità e sostenibilità piuttosto che di mera liceità giuridica.
La capacità esecutiva costituisce infine la prova materiale indispensabile di qualsiasi ambizione culturale e normativa nell’ambito della gestione integrata del rischio di criminalità finanziaria. Un’organizzazione può formulare aspettative elevate in materia di propensione all’escalation, qualità dei fascicoli, vigilanza e condotta prudente, ma tali aspettative perdono legittimità quando processi, organici, sistemi, formazione, accesso ai dati e pressione manageriale siano configurati in modo tale che agire con prudenza divenga strutturalmente più difficile, più lento o più rischioso che ricorrere a scorciatoie pragmatiche. La capacità esecutiva richiede pertanto una lucidità istituzionale sobria rispetto alla questione se l’organizzazione renda operativamente possibili le proprie stesse aspettative in materia di integrità. Il personale può realmente consultare un contesto sufficiente? I diritti decisionali sono sufficientemente chiari da consentire un intervento tempestivo? Il carico di lavoro è compatibile con una valutazione qualitativa? I sistemi permettono una ricostruzione fedele dei ragionamenti precedenti? Il dissenso è sostenuto istituzionalmente oppure soltanto formalmente consentito? Gli errori vengono utilizzati per migliorare il sistema oppure principalmente per attribuire colpe ai team esecutivi? Laddove la capacità esecutiva manchi, si crea inevitabilmente uno scarto tra norma e prassi, e tale scarto finisce per minare sia la cultura sia la consapevolezza normativa. Una cultura organizzativa credibile nel campo della gestione integrata del rischio di criminalità finanziaria non consiste dunque soltanto in un’ambizione morale, ma nella combinazione di limiti chiari, di una consapevolezza normativa sostenuta istituzionalmente e di un ambiente esecutivo nel quale una condotta prudente non debba essere eccezionalmente difficile per essere considerata professionale.
Il collegamento tra prima, seconda e terza linea
Il collegamento tra prima, seconda e terza linea costituisce, nell’ambito della gestione integrata del rischio di criminalità finanziaria, una condizione strutturale di affidabilità della governance, poiché l’efficacia del sistema non dipende esclusivamente dalla qualità delle singole funzioni considerate isolatamente, ma dal modo in cui tali funzioni, nelle loro relazioni reciproche, scambiano informazioni, organizzano le tensioni, rispettano i mandati e contribuiscono congiuntamente alla capacità dell’istituzione di apprendere e di correggersi. Un assetto maturo presuppone che la prima linea non sia considerata come un mero prolungamento esecutivo di obiettivi commerciali o operativi, bensì come il luogo in cui si genera una parte significativa della produzione materiale del rischio e, pertanto, come lo spazio nel quale deve essere radicata la responsabilità per le conseguenze, sotto il profilo dell’integrità, delle scelte quotidiane. In questo quadro, la seconda linea non svolge una funzione amministrativa di verifica ai margini del processo, ma una funzione indipendente, normativa e metodologica, che orienta i quadri di riferimento, mette in discussione le ipotesi, interroga le scelte di progettazione e pone l’organo dirigente di fronte a tensioni che possono essere neutralizzate o normalizzate all’interno della prima linea. La terza linea, a sua volta, non assolve soltanto una funzione terminale di controllo, ma fornisce il necessario specchio sistemico grazie al quale diventa visibile se l’interazione tra prima e seconda linea conduca realmente a un sistema di presidio coerente, verificabile e sostenibile. Il collegamento tra queste tre linee non è dunque di natura meccanica, ma istituzionale: esso determina se l’organizzazione sia in grado di riconoscere il rischio come fenomeno di governance, anziché come una successione di fascicoli operativi isolati.
Uno dei problemi più persistenti nella prassi della gestione integrata del rischio di criminalità finanziaria risiede nel fatto che il rapporto tra le tre linee appare formalmente chiaro, mentre la loro interazione sostanziale è caratterizzata da frizione, atteggiamento difensivo, confusione dei ruoli o distanza strategica. La prima linea può essere incline a esternalizzare il rischio di criminalità finanziaria verso funzioni specialistiche, sulla base dell’idea implicita che la responsabilità della salvaguardia dei confini normativi incomba principalmente ad altri. La seconda linea, dal canto suo, può essere tentata, in presenza di un’insufficiente assunzione di responsabilità da parte della prima linea o sotto la pressione di incidenti, di assumere essa stessa responsabilità operative, sostituendo così la contestazione indipendente con una sostituzione esecutiva. La terza linea, infine, può essere ridotta a una verifica ex post della sola presenza procedurale, senza penetrare sufficientemente la questione se l’organizzazione, nella sua progettazione, nella sua struttura di incentivi e nel suo processo decisionale effettivo, agisca in modo coerente con la propria politica di rischio. Quando tali slittamenti si verificano, ne risulta un sistema che appare ordinato all’esterno, ma che perde rigore al proprio interno. La purezza dei ruoli, pertanto, non è l’opposto della collaborazione, ma la sua condizione. La prima linea deve assumere il rischio e interiorizzarlo. La seconda linea deve inquadrare, sfidare e delimitare. La terza linea deve valutare in modo indipendente se l’insieme funzioni come formalmente si presume che debba funzionare. Solo quando tali funzioni restano forti nell’ambito del proprio mandato e, al contempo, sufficientemente collegate in termini di informazione e di accesso alla governance, emerge un’architettura abbastanza robusta da rispondere alla complessità della minaccia rappresentata dalla criminalità finanziaria.
La sfida essenziale non consiste dunque in una descrizione schematica delle tre linee, ma nella progettazione della loro interazione effettiva. Ciò richiede assetti espliciti in materia di escalation, momenti di contestazione, coinvolgimento nella progettazione di prodotti e processi, informativa gestionale, valutazioni tematiche del rischio e restituzione di incidenti e insegnamenti tratti dall’esperienza. Richiede inoltre che l’organizzazione abbandoni l’idea semplicistica secondo cui la tensione tra prima e seconda linea costituirebbe un segnale di disfunzione. In un modello credibile di gestione integrata del rischio di criminalità finanziaria, una tensione costruttiva è inevitabile e persino auspicabile, perché rende visibili i punti nei quali divergono le logiche commerciali, operative e normative. È ugualmente indesiderabile che la terza linea si limiti a osservare da grande distanza, senza una sufficiente comprensione del carico di lavoro effettivo, dei limiti dei sistemi e dei dilemmi decisionali che determinano, nella pratica, il funzionamento del dispositivo. Un collegamento efficace tra le tre linee presuppone pertanto indipendenza formale senza estraneità istituzionale. Laddove ciò sia realizzato, si forma un modello di presidio nel quale il rischio non viene trasferito, nel quale la contestazione acquisisce peso a livello di governance e nel quale i rilievi di audit non si limitano a registrare insufficienze, ma contribuiscono a una correzione istituzionale più profonda. Laddove ciò non accada, prima, seconda e terza linea possono ciascuna restare attive in modo isolato, ma l’organizzazione nel suo complesso diventa meno capace di comprendere la criminalità finanziaria come una prova sistemica del proprio ordine interno.
Governance dei dati, operazioni e indirizzo di governance
La governance dei dati, le operazioni e l’indirizzo di governance non costituiscono, nell’ambito della gestione integrata del rischio di criminalità finanziaria, ambiti separati, bensì un trittico interdipendente attraverso il quale diventa visibile la reale capacità dell’organizzazione di percepire, interpretare e presidiare i propri rischi. La governance dei dati determina quale realtà diventi visibile sul piano amministrativo, analitico e decisionale. Le operazioni determinano il modo in cui tale realtà viene trattata nei fascicoli, negli alert, nelle indagini, negli interventi e nelle rivalutazioni. L’indirizzo di governance determina quali schemi emergenti da quella realtà operativa e fondata sui dati vengano elevati al rango di questioni manageriali, scelte di capacità o ricalibrazioni strategiche. Non appena uno di questi tre elementi risulta debole, l’intero dispositivo diventa vulnerabile. Un’istituzione può disporre di grandi quantità di dati senza che essi siano sufficientemente affidabili, contestualmente utilizzabili o accessibili in modo trasversale alle funzioni. Le operazioni possono trattare volumi rilevanti senza che i risultati di tale trattamento forniscano una reale comprensione dei rischi strutturali. L’indirizzo di governance può ricevere una reportistica estesa senza che questa rifletta adeguatamente le tensioni effettive presenti nelle operazioni o la qualità normativa delle decisioni. La gestione integrata del rischio di criminalità finanziaria richiede pertanto non semplicemente più dati, operazioni più efficienti o report più frequenti al consiglio, ma un grado di connessione tra queste tre dimensioni tale da consentire all’organizzazione di vedere sé stessa con sufficiente nitidezza e, su tale base, di darsi una direzione.
La qualità della governance dei dati riveste, a questo riguardo, un’importanza fondamentale, poiché il rischio di criminalità finanziaria dipende in larga misura dalla natura delle informazioni registrate, dalla coerenza con cui vengono applicate le definizioni, dal modo in cui i sistemi comunicano tra loro, dalla riproducibilità delle decisioni e dalla disponibilità coerente, lungo l’intero ciclo di vita, delle informazioni relative al comportamento dei clienti, alle transazioni, agli alert, alle escalation, agli overrides, alle indagini e alle uscite. Una governance dei dati carente non conduce soltanto a inefficienza tecnica, ma anche a un impoverimento normativo. Quando informazioni critiche sono frammentate tra sistemi diversi, quando decisioni storiche non sono tracciabili, quando gli esiti dei modelli non sono spiegabili o quando funzioni differenti operano a partire da verità diverse riguardo allo stesso profilo di cliente o di rischio, l’organizzazione perde la capacità di formulare giudizi coerenti. Le operazioni sono allora costrette ad agire sulla base di un contesto parziale, e ciò deteriora a sua volta la qualità delle valutazioni, delle escalation e delle prioritarizzazioni. La realtà operativa in molte istituzioni mostra che i team di trattamento dei casi, gli investigatori e gli analisti sono spesso limitati non anzitutto da una carenza di impegno o di competenza, ma da insufficienze in materia di integrità dei dati, interconnessione dei sistemi e ricostruzione dei fascicoli. In un approccio credibile alla gestione integrata del rischio di criminalità finanziaria, la governance dei dati non è pertanto un tema informatico di supporto, ma una componente centrale dell’integrità istituzionale, poiché determina se l’organizzazione fondi le proprie decisioni su una rappresentazione sufficientemente coerente e verificabile della propria realtà.
Le operazioni costituiscono poi il punto nel quale quadri astratti, insiemi di dati e aspettative di governance vengono tradotti in un presidio effettivo del rischio. È lì che diventa visibile se i volumi di alert siano gestibili, se la logica di prioritarizzazione sia pertinente, se i percorsi di eccezione siano disciplinati, se gli standard investigativi siano sostenibili e se l’organizzazione disponga di capacità sufficienti non soltanto per registrare i segnali, ma anche per trattarli in modo significativo. L’indirizzo di governance può essere credibile solo se non riduce la realtà operativa ai tempi di lavorazione, alle statistiche di volume e ai tassi di chiusura, ma comprende anche le tensioni celate dietro gli arretrati, i falsi positivi, la deriva qualitativa, i colli di bottiglia di revisione, la fatica da escalation e le dipendenze manuali. Un organo dirigente che si interroghi soltanto sull’efficienza, senza una sufficiente comprensione della densità del rischio e della complessità normativa, crea implicitamente una pressione suscettibile di spingere le operazioni verso l’abbreviazione, il restringimento o la routinizzazione del giudizio. Per converso, operazioni i cui rilievi non vengano tradotti a livello di governance rischiano di rimanere intrappolate nella mera gestione dei sintomi. L’indirizzo di governance, nel quadro della gestione integrata del rischio di criminalità finanziaria, richiede pertanto che segnali operativi, schemi di dati e cause strutturali convergano a un livello nel quale non si discutano soltanto i carichi di lavoro, ma anche le scelte di progettazione, l’allocazione delle risorse, la governance dei modelli, la strategia clienti e le misure correttive. Solo a questa condizione l’organizzazione può passare dal trattamento operativo all’apprendimento istituzionale.
L’intera organizzazione come condizione per un’implementazione credibile
L’intera organizzazione deve essere considerata una condizione per l’implementazione credibile della gestione integrata del rischio di criminalità finanziaria, poiché un’implementazione priva di ancoraggio a livello dell’intera organizzazione degenera inevitabilmente in un programma formale che produce certo processi e documenti, ma non interviene in misura sufficiente nella logica sottostante attraverso cui l’istituzione produce, gerarchizza e governa il rischio. Molti percorsi di implementazione falliscono non perché le misure prescelte siano, di per sé, irrilevanti, ma perché esse vengono introdotte in un’organizzazione che lascia intatte le proprie ipotesi strategiche, le proprie strutture di incentivo, i propri diritti decisionali e i propri modelli di cooperazione. In un simile contesto, nuovi controlli vengono aggiunti a una realtà preesistente che neutralizza poi tali stessi controlli mediante pressione temporale, cultura dell’eccezione, insufficienza dei dati, frammentazione della titolarità o priorità commerciale implicita. La credibilità dell’implementazione dipende pertanto non soltanto dalla qualità tecnica, dalla disciplina progettuale o dalla governance del programma, ma anche dalla disponibilità dell’istituzione a riconoscere che un presidio duraturo della criminalità finanziaria è possibile solo se l’intero assetto organizzativo viene reso coerente con le esigenze normative e operative del sistema. In questo senso, l’intera organizzazione non è un metodo di implementazione tra gli altri, bensì la condizione istituzionale in presenza della quale l’implementazione può divenire qualcosa di più di documenti, strumenti e attività formative.
Un’implementazione credibile della gestione integrata del rischio di criminalità finanziaria richiede pertanto, fin dall’inizio, un perimetro più ampio della mera redazione di policy, della riprogettazione dei flussi di lavoro o dell’irrigidimento delle regole di monitoraggio. Essa esige che l’organizzazione esamini esplicitamente i luoghi in cui il rischio di integrità è già prodotto nell’ordine istituzionale esistente. Tale esame deve estendersi alle caratteristiche dei prodotti, al pilotaggio commerciale, alla selezione della clientela, ai rapporti con i terzi, ai modelli di staffing, all’informazione gestionale, alle definizioni dei dati, alle dipendenze tecnologiche, ai forum di governance e ai meccanismi di remunerazione. In mancanza di tale ampiezza, si forma una logica di implementazione nella quale l’attenzione si concentra sui domini di controllo visibili, mentre le cause della vulnerabilità strutturale restano altrove. L’organizzazione sembra allora progredire perché vengono introdotti nuovi processi e prodotti documenti di accountability, mentre la tensione fondamentale tra crescita, eseguibilità e delimitazione normativa resta intatta. L’intera organizzazione impone quindi all’implementazione di non limitarsi alla questione di come un framework di controllo venga dispiegato, ma anche di rispondere alla domanda su come l’istituzione impedisca alle proprie scelte operative, commerciali e tecnologiche di compromettere continuamente quel medesimo framework. La credibilità dell’implementazione non è così determinata principalmente dall’ampiezza del programma, ma dalla profondità con cui esso affronta le cause interne della frammentazione e dell’incoerenza.
Ne consegue altresì che l’implementazione, nell’ambito di un approccio esteso all’intera organizzazione, costituisce un processo durevole di governance e non uno sforzo trasformativo una tantum con un punto finale rigidamente delimitato. Il rischio di criminalità finanziaria evolve infatti insieme ai comportamenti della clientela, all’innovazione di prodotto, al cambiamento tecnologico, alle trasformazioni geopolitiche e all’evoluzione delle norme di vigilanza. Un’organizzazione che intenda implementare in modo credibile la gestione integrata del rischio di criminalità finanziaria deve dunque dotarsi di meccanismi attraverso cui gli insegnamenti tratti, le analisi degli incidenti, le carenze dei controlli, i quasi incidenti e le tensioni operative si riflettano nuovamente su strategia, progettazione e governance. Ciò richiede umiltà istituzionale: il riconoscimento del fatto che l’implementazione non è mai definitivamente conclusa e che il suo completamento formale dice ben poco laddove il funzionamento quotidiano dell’organizzazione continui a generare nuove vulnerabilità. L’intera organizzazione conferisce all’implementazione proprio quella necessaria durevolezza, poiché sposta il focus dalla mera consegna programmatica all’autocorrezione organizzativa stabile. Là dove tale approccio è presente, l’implementazione può divenire un processo credibile di rafforzamento istituzionale. Là dove esso manca, anche sforzi considerevoli conserveranno il carattere di correzioni apportate a posteriori a un’organizzazione che altrove continua a fare ciò che i presidi a valle sono chiamati a compensare.
La gestione integrata del rischio di criminalità finanziaria come disciplina estesa all’intera organizzazione anziché come funzione specialistica
La gestione integrata del rischio di criminalità finanziaria deve essere compresa come una disciplina estesa all’intera organizzazione e non come una funzione specialistica, perché la natura della minaccia della criminalità finanziaria non coincide con i confini dei singoli ambiti di expertise. Il sapere specialistico resta indispensabile. Senza un’expertise approfondita in materia di antiriciclaggio, sanzioni, frode, lotta alla corruzione, condotta, cyber, indagini, analisi giuridica e governance dei modelli, nessuna istituzione può mantenere un sistema di presidio adeguato. Ma la sola expertise è insufficiente laddove l’organizzazione, nel suo complesso, continui a trattare le proprie scelte rilevanti per il rischio come se esse ricadessero fuori dal perimetro della gestione integrata del rischio di criminalità finanziaria. Non appena il presidio della criminalità finanziaria viene istituzionalmente localizzato in una colonna specialistica, le altre funzioni sono tentate di negare o minimizzare il proprio contributo alla produzione del rischio. La strategia allora si percepisce come funzione di mercato e di crescita. Lo sviluppo dei prodotti si percepisce come funzione di innovazione e di comodità per il cliente. Le operazioni si percepiscono come funzione di efficienza. La tecnologia si percepisce come funzione abilitante. Le risorse umane si percepiscono come funzione dedicata alle persone. Ciascuna di queste auto-rappresentazioni contiene una parte di verità, ma nessuna è sufficiente se si disconosce che tutte queste funzioni sono anche portatrici di scelte suscettibili di aumentare o ridurre la vulnerabilità dell’istituzione alla criminalità finanziaria. La gestione integrata del rischio di criminalità finanziaria come disciplina estesa all’intera organizzazione corregge pertanto la distinzione fuorviante tra, da un lato, “il business” e, dall’altro, “la funzione di criminalità finanziaria”.
Il carattere disciplinare della gestione integrata del rischio di criminalità finanziaria implica che le conoscenze, il linguaggio e il giudizio rilevanti non debbano restare concentrati esclusivamente in team specialistici, ma debbano essere incorporati, in forma adattata, nella alfabetizzazione di governance e nella alfabetizzazione operativa dell’istituzione nel suo complesso. Ciò non significa che ogni funzione debba divenire specialistica, ma significa che ogni funzione debba possedere una comprensione sufficiente del modo in cui la criminalità finanziaria può manifestarsi nel proprio ambito di responsabilità. I team di prodotto devono comprendere quali funzionalità possano facilitare gli abusi. Il pilotaggio commerciale deve comprendere in che modo profilo cliente, pricing, definizione degli obiettivi e pressione acquisitiva comportino conseguenze in termini di integrità. I team data e tecnologici devono comprendere che classificazione, selezione dei modelli e logica di automazione non sono neutre dal punto di vista valoriale. Le risorse umane devono comprendere come gli indicatori di performance, i criteri di promozione e gli interventi culturali sostengano o minino un comportamento prudente. Il consiglio e il senior management devono comprendere che il presidio della criminalità finanziaria non è un sottodominio tecnico sul quale ricevere periodicamente relazioni, ma una disciplina che incide direttamente sulla legittimità strategica e sulla continuità dell’impresa. Quando questa disciplinarizzazione più ampia manca, le funzioni specialistiche restano strutturalmente responsabili di compensare rischi generati altrove nell’organizzazione in assenza di una piena consapevolezza del rischio.
Il passaggio da funzione specialistica a disciplina estesa all’intera organizzazione comporta anche conseguenze rilevanti sul modo in cui il successo viene misurato e la responsabilità distribuita. Finché la gestione integrata del rischio di criminalità finanziaria viene considerata principalmente come un dominio specialistico, la tendenza naturale è quella di misurare la performance mediante indicatori quali la gestione dei fascicoli, la chiusura degli alert, i rilievi di audit, l’implementazione delle policy o il follow-up regolamentare. Tali indicatori conservano utilità, ma risultano insufficienti finché non siano collegati a questioni più ampie concernenti la progettazione dei prodotti, l’appetito per il rischio, la strategia clienti, l’integrità dei dati, l’eseguibilità operativa, le scelte di leadership e la coerenza interna. Una disciplina estesa all’intera organizzazione richiede dunque un quadro concettuale più ricco, nel quale non venga misurata soltanto la performance dei team specialistici, ma anche il grado in cui l’istituzione riesce a ridurre a monte la produzione del rischio, a trattare a livello di governance le tensioni normative, a fare risalire tempestivamente le escalation e a configurare l’organizzazione in modo tale che il rischio di criminalità finanziaria non venga strutturalmente esternalizzato verso il tratto finale del processo. In questo senso, la disciplinarizzazione della gestione integrata del rischio di criminalità finanziaria significa che l’integrità passa dallo status di condizione specialistica periferica a quello di criterio generale del comportamento professionale e di governance.
La coerenza interna come fondamento dell’efficacia e della legittimità esterne
La coerenza interna costituisce il fondamento dell’efficacia e della legittimità esterne nell’ambito della gestione integrata del rischio di criminalità finanziaria, perché un’istituzione può agire in modo credibile verso l’esterno soltanto se il proprio ordine interno è sufficientemente coerente da allineare le proprie pretese normative, la propria prassi operativa e il proprio processo decisionale di governance. L’efficacia esterna in questo ambito viene spesso valutata sulla base della capacità di rilevazione, della qualità delle segnalazioni, della conformità alle sanzioni, delle indagini sulla clientela, della risposta agli incidenti e della cooperazione con le autorità. Tutti questi elementi sono rilevanti, ma possono funzionare in modo durevole soltanto se l’architettura interna dell’organizzazione non opera sistematicamente contro i risultati perseguiti. Un’istituzione che ostenti verso l’esterno standard elevati lasciando però sussistere al proprio interno incentivi contraddittori genererà inevitabilmente uno scarto tra la propria posizione formale e il proprio funzionamento effettivo. Tale scarto incide non solo sull’efficacia dei controlli, ma anche sulla legittimità dell’istituzione agli occhi delle autorità di vigilanza, delle controparti, dei clienti, dei collaboratori e della società. La legittimità, nel contesto della gestione integrata del rischio di criminalità finanziaria, non deriva infatti dal solo rispetto di requisiti minimi, ma dalla capacità di dimostrare in modo plausibile che l’organizzazione governi realmente sé stessa in una maniera che non tolleri, non sposti e non esternalizzi opportunisticamente la criminalità finanziaria.
L’efficacia esterna presuppone pertanto che l’organizzazione sia internamente capace di riunire segnali rilevanti al di là dei confini funzionali, di affrontare a livello di governance obiettivi confliggenti e di rifiutare di ridurre insufficienze strutturali a errori individuali o a perturbazioni procedurali incidentali. Le autorità di vigilanza e gli altri valutatori esterni osservano sempre meno esclusivamente la presenza di misure formali e sempre più le condizioni di governance e di cultura entro cui tali misure operano. La domanda non è soltanto se l’istituzione disponga di un framework di controllo, ma se tale framework sia nella pratica sostenuto da accountability chiara, decisioni coerenti, dati affidabili, contestazione indipendente e sufficiente assunzione di responsabilità da parte della prima linea. Anche partner esterni, banche corrispondenti, investitori e attori sociali valutano sempre più le istituzioni in base al grado in cui l’integrità risulta visibilmente radicata nel funzionamento reale dell’impresa. La coerenza interna acquisisce così un significato esterno: essa determina se l’istituzione possa dimostrare in modo convincente che il rischio non viene soltanto gestito a posteriori, ma delimitato a monte mediante il modo in cui prodotti, processi, incentivi e governance sono progettati. Laddove tale coerenza manchi, le espressioni esterne di fiducia restano vulnerabili a una rapida erosione non appena gli incidenti rivelano che il presidio formale non corrisponde alla realtà quotidiana.
La legittimità, in questo contesto, riveste in ultima analisi un carattere profondamente istituzionale. Essa poggia sulla forza persuasiva con cui un’istituzione riesce a dimostrare che il proprio approccio al rischio di criminalità finanziaria discende da una forma durevole di autogoverno e non da pressione temporanea, gestione reputazionale o adattamento imposto dalla vigilanza. La coerenza interna è indispensabile a tale fine, poiché soltanto un’organizzazione internamente coerente è in grado di mantenere credibilmente confini normativi quando tali confini comportano costi in termini di ricavi, rapidità, comodità per il cliente o espansione di mercato. Un’istituzione che operi internamente in modo frammentato potrà forse, per un certo periodo, mostrare risultati efficaci all’esterno, ma resterà vulnerabile a ricadute non appena aumenti la pressione o muti l’ambiente. Un’istituzione dotata di forte coerenza interna, al contrario, possiede più di una semplice capacità di controllo. Possiede credibilità istituzionale: la capacità di agire efficacemente verso l’esterno perché, all’interno, vengono mantenute la medesima logica normativa, la medesima disciplina di governance e la medesima coerenza operativa. Sotto questo profilo, la legittimità esterna non è un prodotto comunicativo, ma il riflesso di un’organizzazione che ha inscritto la gestione integrata del rischio di criminalità finanziaria come proprietà del proprio ordine interno.
