La gestione integrata del rischio di criminalità finanziaria secondo un approccio globale al rischio presuppone una riorganizzazione fondamentale del modo in cui l’integrità finanziaria viene compresa, collocata e governata all’interno di organizzazioni, istituzioni finanziarie, sistemi pubblici e catene del valore transfrontaliere. In questo approccio, il rischio di criminalità finanziaria non viene trattato come un ambito specialistico delimitato e autonomo, che potrebbe essere collocato in un silo separato di conformità dotato di proprie regole, propri controlli, propri sistemi e di un proprio ciclo di rendicontazione, bensì come una componente strutturalmente intrecciata con il panorama complessivo dei rischi dell’istituzione. Tale punto di partenza comporta implicazioni di vasta portata. Esso rompe con l’idea convenzionale secondo cui il presidio della criminalità finanziaria si esaurirebbe essenzialmente nella conoscenza del cliente, nel monitoraggio delle transazioni, negli alert, nella gestione dei casi, nello screening sanzionatorio e nell’escalation degli incidenti, mentre gli altri ambiti di rischio verrebbero governati lungo linee parallele da funzioni diverse, comitati diversi e dashboard diverse. Un simile assetto istituzionale può apparire chiaro sul piano amministrativo, ma nella pratica produce un’immagine distorta del modo in cui la criminalità finanziaria emerge, si diffonde e spiega perché le violazioni più gravi dell’integrità raramente si materializzano entro i confini di una sola categoria di rischio. Nella realtà concreta dell’abuso, dell’elusione, della perturbazione e del fallimento normativo, il rischio di riciclaggio, il rischio sanzionatorio, l’esposizione alla frode, la vulnerabilità informatica, l’instabilità operativa, le problematiche di condotta, l’incertezza geopolitica, la fragilità dei terzi, la sensibilità reputazionale e la pressione strategica non appaiono affatto come fenomeni separati, bensì come elementi che si rafforzano reciprocamente all’interno di una dinamica di rischio composita. Ne consegue che un’organizzazione che limiti la gestione integrata del rischio di criminalità finanziaria a processi isolati di rilevazione e conformità si espone strutturalmente al rischio di individuare troppo tardi i punti di convergenza dei rischi, di reagire in modo troppo restrittivo a segnali che sono in realtà multidimensionali e di intervenire in modo eccessivamente meccanico nel momento in cui lo schema causale sottostante è già penetrato in profondità nell’organizzazione.
Un approccio globale al rischio sposta pertanto il baricentro analitico dalla classificazione all’interconnessione, dal controllo isolato alla governabilità integrata e dall’adeguatezza propria di ciascun ambito a una logica sistemica. Questo spostamento richiede non soltanto un migliore coordinamento tra le funzioni, ma anche una diversa concezione intellettuale e manageriale dell’integrità stessa. In questo quadro, il rischio di criminalità finanziaria non è né un fenomeno periferico dell’infrastruttura di conformità né una semplice esposizione giuridica suscettibile di essere contenuta mediante meccanismi di conformità collocati a valle del processo. Esso costituisce una variabile centrale nella valutazione della capacità di un’istituzione, in un contesto di crescita, trasformazione tecnologica, dipendenza internazionale, pressione commerciale, frammentazione geopolitica e scrutinio sociale, di continuare a svolgere le proprie attività in modo spiegabile, controllabile e normativamente difendibile. Ciò implica che la valutazione del rischio di criminalità finanziaria non possa essere determinata unicamente dalla questione se una relazione, un prodotto, una transazione o un mercato rientrino formalmente nei parametri di policy esistenti, ma debba tenere conto anche del modo in cui tale rischio interagisce con la capacità operativa, la qualità dei dati, la pressione sugli organici, le strutture di esternalizzazione, gli obiettivi strategici, il rischio di contenzioso e la vulnerabilità agli shock esterni. Nel momento in cui questa composizione più ampia dei rischi viene posta al centro dell’analisi, appare evidente che l’integrità finanziaria opera come un nodo sistemico all’interno dell’architettura complessiva dei rischi dell’istituzione. In tal modo, la gestione integrata del rischio di criminalità finanziaria cessa di essere una funzione di controllo reattiva per divenire un elemento architetturale dell’architettura dei rischi a livello d’impresa, una disciplina che contribuisce non solo a prevenire gli incidenti, ma anche a plasmare la qualità delle decisioni del consiglio, dello sviluppo dei prodotti, dell’ingresso in nuovi mercati, dell’accettazione della clientela, della selezione dei terzi e della risposta alle crisi. In questa prospettiva, un approccio globale al rischio assume il valore di una condizione metodologica, manageriale e normativa per il presidio credibile di minacce convergenti in un contesto nel quale l’abuso economico-finanziario si presenta sempre meno in forma pura e agisce sempre più come acceleratore di vulnerabilità istituzionali più ampie.
Approccio globale al rischio come metodo integrato dei rischi interdipendenti
L’approccio globale al rischio come metodo integrato dei rischi interdipendenti richiede, in primo luogo, il riconoscimento del fatto che le categorie di rischio possono certamente essere separate nelle strutture formali di governance, ma raramente rimangono rigorosamente distinte nella loro manifestazione concreta. A prima vista, questa constatazione può sembrare teorica, ma nella pratica quotidiana della governance essa comporta conseguenze dirette per la progettazione della gestione integrata del rischio di criminalità finanziaria. Laddove le strutture tradizionali ripartiscono i rischi tra linee di responsabilità delimitate, si radica facilmente l’impressione che ciascun ambito possa essere controllato in modo sufficiente purché disponga di una propria competenza specialistica, di propri quadri di controllo e di propri percorsi di escalation. Tale impressione è fuorviante. Le violazioni dell’integrità più dannose nascono spesso non perché un determinato controllo manchi in modo manifesto, ma perché più controlli parzialmente adeguati, provenienti da ambiti differenti, non riescono a produrre una visione comune della dinamica di minaccia sottostante. Un cliente caratterizzato da strutture proprietarie complesse, più giurisdizioni, canali di distribuzione digitali e una forte pressione temporale nella fase di onboarding può generare simultaneamente esposizione al riciclaggio, all’elusione delle sanzioni, al rischio di frode, alla manipolazione dell’identità, al sovraccarico operativo e alla vulnerabilità reputazionale. Quando ciascuna di queste dimensioni viene valutata in una colonna distinta, l’esposizione cumulativa può rimanere insufficiente-mente percepita a livello di governance, anche se ogni funzione interessata opera con attenzione nell’ambito del proprio mandato. L’approccio globale al rischio corregge tale distorsione trattando l’interdipendenza non come un complemento facoltativo, ma come il punto di partenza stesso dell’analisi.
Ne consegue che un approccio integrato al rischio non può essere ridotto a una cooperazione occasionale o a un coordinamento ad hoc tra team di rischio quando un problema comincia già a delinearsi. Un approccio globale al rischio credibile richiede un quadro strutturale nel quale i rischi vengano letti sin dall’origine alla luce delle loro interdipendenze, delle loro possibili sovrapposizioni causali e del loro impatto combinato sulla governabilità dell’istituzione. Ciò significa che la questione pertinente non riguarda soltanto quale rischio si sia materializzato, ma anche quali siano i meccanismi attraverso i quali quel rischio attiva, approfondisce o accelera altre vulnerabilità. Una carenza operativa nell’identificazione del cliente può evolvere in perdite da frode, esposizione sanzionatoria e rischio di enforcement. Una decisione commerciale volta ad accelerare l’onboarding può generare non solo tensioni di condotta, ma anche indebolire la capacità dell’istituzione di rilevare flussi transazionali anomali. Un terzo dotato di una governance insufficiente può introdurre non solo un rischio di esternalizzazione, ma anche costituire un punto di ingresso per la falsificazione documentale, la distrazione di beni o la prestazione non autorizzata di servizi nei confronti di controparti sanzionate. In tale contesto, la questione di quale team sia formalmente “proprietario” del rischio perde gran parte della propria forza esplicativa. Ciò che conta assai di più è sapere se l’istituzione, considerata nel suo insieme, sia capace di identificare tempestivamente l’interazione tra i rischi, di interpretarla correttamente e di tradurla in modo proporzionato nei processi decisionali, nel monitoraggio e nell’escalation.
Nella gestione integrata del rischio di criminalità finanziaria, l’approccio globale al rischio assume così il carattere di un’architettura dell’integrità piuttosto che di uno slogan organizzativo. Si tratta di un metodo che mira a riflettere la topografia reale dei rischi in modo più fedele di quanto possa fare una struttura di governance compartimentata. Ciò presuppone un linguaggio del rischio condiviso, scenari comuni, dati interoperabili, criteri di escalation coerenti e un livello di governance che non si accontenti della constatazione secondo cui le diverse funzioni hanno ciascuna svolto i propri compiti. La questione decisiva è stabilire se l’organizzazione comprenda realmente la logica sovrapposta dei rischi e sia in grado di governare in modo coerente sulla base di tale comprensione. In assenza di tale interconnessione, può facilmente emergere una sensazione di ordine procedurale mentre l’esposizione sostanziale continua a crescere. L’approccio globale al rischio rende visibile il fatto che il fallimento del presidio non deriva principalmente dall’assenza di regole distinte, ma da una comprensione insufficiente del modo in cui i rischi si comportano in combinazione. In un’epoca in cui l’abuso economico-finanziario si avvale sempre più della scalabilità tecnologica, di strutture transfrontaliere, di catene di servizio disperse e di mercati sensibili alla reputazione, tale comprensione non rappresenta un lusso, bensì una condizione della resilienza istituzionale.
Perché la criminalità finanziaria non può essere considerata isolatamente dagli altri ambiti di rischio
La criminalità finanziaria non può essere considerata isolatamente dagli altri ambiti di rischio perché, nella pratica, raramente si manifesta come un fenomeno autonomo e autosufficiente di natura puramente tecnico-conforme. Essa si sviluppa generalmente nei punti di intersezione tra attività commerciale, progettazione dei processi, infrastruttura tecnologica, scelte in materia di personale, dipendenze esterne e condizioni geopolitiche. Ciò significa che la nozione di rischio di criminalità finanziaria può essere compresa adeguatamente soltanto se viene ricollocata nel contesto più ampio delle attività, dei prodotti, dei canali e dei mercati attraverso i quali essa si radica. Un’istituzione che crea nuove modalità di accesso digitale, amplia segmenti di clientela internazionale, ricorre a processi esternalizzati di conoscenza del cliente o opera in giurisdizioni caratterizzate da configurazioni sanzionatorie complesse non modifica soltanto il proprio onere di conformità in senso stretto. Essa modifica simultaneamente i propri margini di errore operativo, il proprio rischio legato ai dati, la propria esposizione all’usurpazione dell’identità, la propria sensibilità alla frode documentale, la propria vulnerabilità al danno reputazionale e la propria capacità di difesa giuridica nei confronti di autorità di vigilanza, controparti e mercato. La criminalità finanziaria, dunque, non si colloca ai margini di tali sviluppi, ma al loro centro.
Tale impostazione è particolarmente rilevante perché molte strutture di governance continuano a essere implicitamente fondate su un modello sequenziale: dapprima viene definita la strategia commerciale, successivamente vengono progettati i prodotti, poi vengono costruiti i processi operativi e soltanto in seguito il presidio del rischio di criminalità finanziaria viene aggiunto come strato di controllo destinato ad assicurare che il risultato soddisfi i requisiti esterni. Un simile modello è sempre meno sostenibile. Quando il rischio di criminalità finanziaria viene valutato soltanto in una fase avanzata, le scelte determinanti relative a velocità, scala, canale distributivo, accesso del cliente, terzi, portata giurisdizionale e architettura dei dati sono spesso già state compiute. A quel punto, il margine di mitigazione risulta generalmente limitato, lasciando alla funzione di controllo il compito di compensare un deficit strutturale di progettazione mediante un monitoraggio più intenso, un maggiore trattamento delle eccezioni e forme di escalation più pesanti. Ne deriva spesso un’organizzazione che appare formalmente attiva nel contrasto alla criminalità finanziaria, ma che dipende sostanzialmente da correzioni reattive all’interno di una struttura di rischio che ha già ampliato la propria esposizione in termini di integrità. Considerando invece la criminalità finanziaria in stretta relazione con gli altri ambiti di rischio, diventa possibile affrontare il rischio di integrità più a monte, al livello stesso in cui le scelte strategiche e operative modellano la vulnerabilità successiva dell’istituzione.
Ciò consente inoltre di comprendere perché la gestione integrata del rischio di criminalità finanziaria non possa essere concepita unicamente come prevenzione delle violazioni di regole, ma anche come prevenzione dell’accelerazione del rischio derivante da collegamenti difettosi tra ambiti diversi. Una vulnerabilità informatica non costituisce soltanto un problema di sicurezza delle informazioni quando apre la strada alla presa di controllo di conti, alla frode nei pagamenti, a costruzioni di identità sintetica o a manipolazioni documentali su larga scala. Una cultura commerciale aggressiva non rappresenta soltanto una questione di condotta quando conduce a neutralizzare sistematicamente la maggiore complessità della clientela nei processi decisionali commerciali. Una debole governance dei terzi non costituisce soltanto un rischio di esternalizzazione quando compromette la tracciabilità dell’origine, della proprietà, delle istruzioni di transazione o dello screening sanzionatorio. Ciascuno di questi esempi dimostra che il rischio di criminalità finanziaria funziona come una dimensione di rischio connettiva, capace di trasformare vulnerabilità emerse altrove in concreti incidenti di integrità. Per tale ragione, è analiticamente e managerialmente insostenibile trattare la criminalità finanziaria come una categoria autonoma accanto agli altri rischi. Si tratta di una forma di esposizione che trae una parte importante del proprio peso dal modo in cui si radica in condizioni organizzative e sistemiche più ampie.
Il rapporto tra rischio di integrità, rischio operativo e rischio strategico
Il rapporto tra rischio di integrità, rischio operativo e rischio strategico rientra tra le dimensioni più significative, ma anche tra le più frequentemente sottovalutate, della gestione integrata del rischio di criminalità finanziaria. Il rischio di integrità viene ancora spesso presentato come un rischio normativo o giuridico che assume rilievo principalmente quando comportamenti o transazioni non sono conformi alle leggi e ai regolamenti applicabili. Tale rappresentazione è troppo restrittiva. In realtà, il rischio di integrità dipende profondamente dalle condizioni operative e dalle scelte strategiche. In assenza di processi adeguati, dati affidabili, capacità di personale sufficienti, criteri decisionali coerenti e linee di escalation efficaci, nessun assetto di presidio della criminalità finanziaria può funzionare in modo sostenibile. Allo stesso modo, le scelte strategiche relative alla crescita, all’ingresso nei mercati, all’ampliamento dell’offerta, all’adozione tecnologica e all’esternalizzazione definiscono i contorni entro i quali si sviluppano la pressione operativa e la vulnerabilità in termini di integrità. Il rischio di integrità, quindi, non è soltanto un derivato di norme esterne, ma anche il prodotto del modo in cui l’organizzazione si è configurata per agire sotto vincolo. Là dove l’infrastruttura operativa è fragile o l’ambizione strategica è sproporzionata rispetto alla capacità di presidio, aumenta la probabilità che le carenze di integrità non si manifestino in modo episodico, ma strutturale.
Il rischio operativo svolge in questo rapporto un ruolo duale. Da un lato, esso costituisce un ambito di rischio autonomo, incentrato sui fallimenti di processi, sistemi, persone e sugli eventi esterni. Dall’altro lato, esso rappresenta il supporto sul quale poggia, nella pratica, una parte sostanziale del rischio di criminalità finanziaria. Un’adeguata verifica della clientela dipendente da dati frammentati, da aggiramenti manuali o da team di revisione sovraccarichi perde non soltanto in efficienza, ma anche in affidabilità sostanziale. Processi di screening caratterizzati da tassi elevati di falsi positivi producono non solo inefficienza, ma anche affaticamento da alert, incoerenza nei processi decisionali e una maggiore probabilità che segnali rilevanti non ricevano la priorità necessaria. Modelli di monitoraggio delle transazioni che non riflettono né la logica dei prodotti né il comportamento della clientela generano non soltanto inaccuratezza tecnica, ma anche un falso conforto a livello manageriale. In ciascuno di questi casi, il rischio operativo si materializza sotto forma di rischio di integrità, non perché la norma sia mutata, ma perché le condizioni operative necessarie a una conformità credibile sono sotto tensione. Per la gestione integrata del rischio di criminalità finanziaria, ciò significa che la qualità dei modelli operativi, degli organici, della tracciabilità dei dati, della governance dei modelli e della disciplina procedurale non costituisce un semplice contesto periferico del presidio del rischio di criminalità finanziaria, ma un elemento essenziale del suo nucleo stesso.
Il rischio strategico aggiunge un’ulteriore dimensione, poiché interroga la questione se l’orientamento dell’impresa, dell’istituzione o dell’organizzazione rimanga allineato con la propria capacità effettiva e con la propria tolleranza al rischio. Una strategia fondata su una rapida espansione internazionale, sulla scalabilità digitale, su un accesso alla clientela privo di attriti o sull’innovazione di prodotto può essere commercialmente attraente, ma creare al tempo stesso un contesto nel quale il rischio di integrità e il rischio operativo si rafforzano reciprocamente. Quando il ritmo di crescita, la complessità e l’esposizione aumentano più velocemente dell’ambiente di controllo, il risultato non è una serie di incidenti isolati, bensì schemi prevedibili di accumulazione del rischio. In questa prospettiva, un incidente di integrità non può essere compreso soltanto come un errore esecutivo a livello operativo. Esso può costituire, con pari evidenza, la manifestazione di un eccesso strategico, di una formulazione insufficiente della propensione al rischio o di un contesto di governance che ha troppo a lungo dissociato le priorità commerciali dai requisiti di presidio integrato. Il rapporto tra rischio di integrità, rischio operativo e rischio strategico non è dunque lineare, ma circolare: la strategia modella le operazioni, le operazioni modellano l’integrità, gli incidenti di integrità incidono sulla reputazione, sull’esposizione a misure di enforcement e sull’accesso al mercato, e tali fattori ridisegnano poi a loro volta lo spazio strategico. Un approccio globale al rischio rende visibile tale circolo ed evita che l’analisi rimanga prigioniera del livello più basso dell’esecuzione mentre le scelte sottostanti di livello superiore restano fuori campo.
Il rischio informatico, il rischio sanzionatorio, il rischio di frode e il rischio reputazionale in una logica unitaria di rischio
Il rischio informatico, il rischio sanzionatorio, il rischio di frode e il rischio reputazionale devono essere letti, nell’ambito della gestione integrata del rischio di criminalità finanziaria, come componenti di un’unica logica coerente di rischio, poiché i legami causali tra tali ambiti si sono fatti più densi e più rapidi. Negli ecosistemi finanziari e commerciali contemporanei, un incidente informatico non è più, nella maggior parte dei casi, una semplice questione di integrità o disponibilità dei sistemi. Esso può trasformarsi molto rapidamente in compromissione di conti, frode nei pagamenti, manipolazione dei dati della clientela, falsificazione di strumenti di identificazione, modifica delle informazioni relative al beneficiario, perturbazione dei processi di screening o inganno dei collaboratori attraverso forme sofisticate di ingegneria sociale. Nel momento in cui tale catena si sviluppa, l’incidente passa dal dominio della cybersicurezza a quello dell’esposizione alla criminalità finanziaria, pur senza che cambi la natura dell’evento iniziale. Il rischio sanzionatorio può quindi attivarsi all’interno della medesima catena quando istruzioni modificate, controparti occultate, itinerari commerciali alternativi o intermediari opachi determinano il coinvolgimento, nelle transazioni, di persone, entità o giurisdizioni sanzionate. Il rischio reputazionale non si manifesta allora come una conseguenza secondaria e remota, bensì come un amplificatore diretto del danno complessivo, poiché la percezione pubblica, l’attenzione dei media, la reazione politica e l’intensificazione del controllo da parte delle autorità restringono ulteriormente il margine di manovra dell’istituzione.
La necessità di una logica unitaria del rischio deriva anche dal fatto che il confine tra minaccia, incidente e conseguenza è divenuto sempre più sfumato in questi ambiti. La frode può derivare da una compromissione informatica, ma può anche essere agevolata da strutture di elusione delle sanzioni o da debolezze dei processi interni. Il danno reputazionale può derivare da una violazione accertata, ma anche dalla percezione che un’organizzazione reagisca in modo lento, difensivo o incoerente a una minaccia composita. L’esposizione sanzionatoria può dipendere da una scarsa qualità dei dati, ma anche da ipotesi errate in materia di titolarità effettiva, catene commerciali, rapporti di corrispondenza o affidabilità dei terzi. In tutte queste situazioni, un approccio segmentato si rivela insufficiente, poiché ciascun team sarà portato a interpretare l’evento attraverso il vocabolario primario del proprio ambito. Il team cyber vede un attacco, il team antifrode vede uno schema di perdita, il team sanzioni vede un problema di screening e il team reputazionale vede una vulnerabilità pubblica. Ciò che manca in assenza di una logica integrata è una rappresentazione comune dell’intera catena del rischio: quale tipo di attore sia coinvolto, attraverso quale punto di ingresso, sfruttando quale debolezza procedurale, aggirando quale controllo, producendo quale implicazione esterna e generando quale livello di esposizione manageriale.
Un approccio integrato a questi quattro ambiti riveste pertanto rilievo non solo sul piano analitico, ma anche sotto il profilo della progettazione della governance. La qualità della decisione manageriale si deteriora quando le escalation vengono presentate in forma frammentata e la prioritizzazione non viene effettuata sulla base di una visione unitaria del rischio. Un’istituzione può così investire simultaneamente nella resilienza informatica, in strumenti sanzionatori, in meccanismi di contrasto alla frode e nella comunicazione di crisi, senza riconoscere che la propria vulnerabilità più rilevante risiede nell’interfaccia tra tali investimenti, ad esempio in un’assicurazione dell’identità insufficiente, in dati di evento non collegati, in esercitazioni di scenario inadeguate o in una responsabilità di escalation poco chiara per incidenti multidominio. Nell’ambito della gestione integrata del rischio di criminalità finanziaria, è quindi essenziale non trattare il rischio informatico, il rischio sanzionatorio, il rischio di frode e il rischio reputazionale come aree parallele di preoccupazione, ma come elementi di un’unica catena operativa e manageriale. Tale catena deve fornire una comprensione del modo in cui le minacce penetrano nell’organizzazione, del modo in cui migrano tra ambiti diversi, dei punti in cui i controlli si sorreggono reciprocamente, dei segnali che rivelano precocemente una convergenza e delle informazioni gestionali necessarie per rendere significative, a livello di governance, escalation composite. Solo a tale condizione un’istituzione può evitare di apparire adeguata in ciascun ambito considerato singolarmente, mentre, nella realtà, la sua capacità complessiva di risposta agli incidenti difetta della necessaria coerenza.
Concentrazione del rischio, spostamento del rischio e accumulazione del rischio
La concentrazione del rischio, lo spostamento del rischio e l’accumulazione del rischio fanno parte dei concetti centrali di un approccio globale al rischio perché rendono visibile il fatto che la gravità dell’esposizione alla criminalità finanziaria non è determinata unicamente dalla natura intrinseca dei singoli rischi, ma anche dal modo in cui tali rischi vengono distribuiti, trasferiti e sovrapposti all’interno del sistema istituzionale. La concentrazione del rischio si manifesta quando più vulnerabilità si raggruppano attorno ai medesimi clienti, prodotti, regioni, terzi, canali distributivi o nodi operativi. Un’organizzazione può ragionare separatamente su ciascun elemento e ritenerlo gestibile, accumulando tuttavia un’esposizione sproporzionata perché i medesimi punti di concentrazione ricompaiono ripetutamente nell’insieme del proprio portafoglio di attività. Un gruppo di clienti caratterizzati da strutture internazionali complesse, elevata velocità transazionale, giurisdizioni sensibili e ricorso intensivo all’onboarding digitale può creare una concentrazione di rischio di riciclaggio, di sanzioni, di frode e di reputazione assai più gravosa, a livello di governance, di quanto lascerebbe supporre la valutazione dossier per dossier di ciascuna relazione. La gestione integrata del rischio di criminalità finanziaria deve rendere esplicite tali concentrazioni, poiché, in mancanza di ciò, può sorgere un falso senso di sicurezza secondo cui le valutazioni individuali sarebbero sufficienti a rappresentare l’esposizione complessiva, mentre in realtà si sta formando un nodo sistemico di vulnerabilità accresciuta.
Lo spostamento del rischio è un fenomeno più sottile, ma non meno importante. Esso si verifica quando una misura di mitigazione adottata in un ambito o in una parte dell’organizzazione trasferisce l’esposizione verso un altro ambito senza ridurre realmente la pressione complessiva del rischio. Il rafforzamento dello screening può, ad esempio, diminuire l’esposizione diretta alle sanzioni, ma generare al contempo ritardi operativi, maggiori attriti per la clientela, crescente pressione sulle eccezioni e una dipendenza più marcata da revisioni manuali. L’esternalizzazione di talune componenti della due diligence sulla clientela può alleggerire i vincoli interni di capacità, ma accrescere simultaneamente il rischio legato ai terzi, la variabilità della qualità e la complessità della supervisione. L’inasprimento dei criteri di onboarding può ridurre alcuni rischi di integrità, ma spostare l’attività verso canali, prodotti o mercati nei quali l’istituzione dispone di minore visibilità sulla composizione della clientela o sulla natura dei flussi transazionali. In ciascuno di questi casi, la questione centrale non consiste nello stabilire se una misura di controllo sia razionale in sé, bensì se l’istituzione disponga di una visione chiara degli spostamenti secondari di rischio che essa determina. In assenza di tale comprensione, un’istituzione può intervenire formalmente su una determinata esposizione, redistribuendo però sostanzialmente il rischio verso aree in cui la rilevazione, la governance o l’attenzione manageriale sono meno sviluppate.
L’accumulazione del rischio costituisce il terzo elemento, e forse il più significativo dal punto di vista manageriale, poiché si riferisce alla situazione nella quale rischi individualmente ancora difendibili si sommano progressivamente fino a formare un profilo complessivo che non può più essere sostenuto. Numerosi gravi incidenti di integrità non possono essere attribuiti a un unico errore flagrante, ma piuttosto a una successione di decisioni, eccezioni, tensioni capacitive, difetti dei dati, dipendenze esterne e fattori di pressione commerciale, nessuno dei quali appariva, considerato isolatamente, determinante. Presi nel loro insieme, essi creano tuttavia un contesto nel quale il fallimento di un singolo controllo produce immediatamente conseguenze assai più ampie. Nell’ambito della gestione integrata del rischio di criminalità finanziaria, ciò significa che la valutazione del rischio non può arrestarsi alla questione se un determinato elemento rimanga entro i limiti di tolleranza. La domanda più importante è stabilire quale carico aggiuntivo il sistema complessivo possa ancora assorbire prima che la vulnerabilità cumulativa si trasformi in materializzazione dell’incidente, in esposizione a misure di enforcement o in danno reputazionale. Un approccio globale al rischio rende così visibile che il governo del rischio non consiste soltanto nell’individuare i rischi individuali più gravi, ma anche nel riconoscere schemi di sovrapposizione, convergenza e accumulo. È proprio qui che risiede il vero banco di prova del presidio manageriale: non nell’ordine apparente di registri separati, ma nella capacità di discernere i punti in cui concentrazione, spostamento e accumulazione minano l’architettura di integrità dell’istituzione molto prima che una violazione formale o una crisi pubblica rendano tale realtà incontestabile.
Dai registri dei rischi separati a visioni integrate del rischio
Il passaggio da registri dei rischi separati a visioni integrate del rischio costituisce una delle implicazioni più essenziali della gestione integrata del rischio di criminalità finanziaria nell’ambito di un approccio globale al rischio, poiché incide sul modo stesso in cui un’organizzazione percepisce la realtà delle proprie vulnerabilità. Il registro dei rischi tradizionale presenta un’utilità indiscutibile quale strumento di classificazione, formalizzazione e accountability. Esso rende visibili i rischi formalmente identificati, i soggetti che ne sono responsabili, le misure poste in essere e il livello di esposizione residua ritenuto accettabile. Tale utilità incontra tuttavia limiti evidenti nel momento in cui i rischi non si manifestano più principalmente come fenomeni distinti, ma si sviluppano ai punti di intersezione tra processi, prodotti, relazioni esterne, dipendenze tecnologiche e scelte di governo. In un simile contesto, il registro dei rischi può offrire un quadro amministrativo ordinato e tuttavia risultare insufficiente a spiegare dove si collochino effettivamente le vulnerabilità istituzionali più gravi. Un registro in cui siano elencati separatamente il rischio di riciclaggio, il rischio sanzionatorio, il rischio informatico, il rischio operativo, l’esposizione alla frode, la sensibilità reputazionale e il rischio legato ai terzi dice ancora ben poco, di per sé, circa i punti nei quali tali rischi si rafforzano concretamente a vicenda, quali controlli si fondano sulle medesime assunzioni, dove le stesse carenze dei dati compromettono simultaneamente più domini di rischio, o ancora dove un aumento della pressione commerciale amplia il margine di errore su più fronti nello stesso tempo. È precisamente nello spazio che separa la registrazione formale dalla convergenza effettiva che emerge con chiarezza la necessità di visioni integrate del rischio.
Le visioni integrate del rischio non consistono semplicemente in dashboard più ampie o in report gestionali più raffinati sul piano visivo. Esse presuppongono una diversa disciplina analitica, nella quale il rischio non viene soltanto catalogato, ma anche posto in relazione con altri rischi, con il processo decisionale, con le causalità sottostanti e con il potenziale impatto sistemico. Nell’ambito della gestione integrata del rischio di criminalità finanziaria, ciò significa che l’organizzazione non può limitarsi a presentare indicatori chiave di rischio distinti per funzione o per dominio di seconda linea. Deve emergere una comprensione della simultaneità dei segnali. Un aumento del volume delle allerte assume un significato diverso quando coincide con un deterioramento della qualità dei dati, con una crescente dipendenza da capacità di revisione esterne, con una maggiore complessità della clientela e con un’espansione verso giurisdizioni sensibili. Una riduzione dei tempi di lavorazione non costituisce automaticamente un indicatore positivo di performance quando è accompagnata da una pressione crescente sulle eccezioni, da verifiche documentali più limitate o da obiettivi commerciali più aggressivi. Un livello stabile di frode può generare una falsa sensazione di sicurezza quando le intrusioni informatiche aumentano, lo screening sanzionatorio diventa più dipendente da dati sorgente carenti e l’organizzazione introduce nuovi prodotti senza disporre di una visibilità completa sulla dimensione di integrità dell’utilizzo da parte della clientela. La visione integrata del rischio mira a rendere intelligibile tale simultaneità, affinché i decisori non prendano soltanto atto di parametri isolati, ma possano formarsi un giudizio circa la direzione effettiva dell’esposizione complessiva.
Questo spostamento impone requisiti considerevoli in materia di governo dei dati, tassonomia dei rischi, governance istituzionale e capacità interpretativa. In assenza di definizioni coerenti, di collegamenti affidabili tra i sistemi e di una comprensione condivisa della materialità delle escalation, una visione integrata del rischio può facilmente degenerare in un insieme sovraffollato di indicatori privo di un chiaro significato gestionale. L’obiettivo non è rendere visibile ogni possibile relazione, bensì dare priorità a quei collegamenti che risultano realmente rilevanti per il presidio dell’abuso economico-finanziario e per la più ampia governabilità dell’istituzione. Ciò richiede disciplina nella selezione, nell’analisi causale e nella distinzione tra sintomo e causa. Nell’ambito della gestione integrata del rischio di criminalità finanziaria, diventa quindi evidente che il passaggio a visioni integrate del rischio non costituisce un esercizio tecnico, bensì un riposizionamento di governance. Esso obbliga l’organizzazione a prendere le distanze dalla comoda finzione secondo cui la completezza della registrazione equivarrebbe alla completezza della comprensione. Il criterio decisivo non è più stabilire se tutti i rischi rilevanti siano stati registrati separatamente, ma se l’organizzazione sia in grado di vedere dove essi si accumulano, dove si alimentano reciprocamente e dove l’architettura dell’integrità entra in tensione prima che gli incidenti rendano tale realtà manifesta in modo inequivocabile.
Propensione al rischio, prioritarizzazione e giudizio di governance
La gestione integrata del rischio di criminalità finanziaria nell’ambito di un approccio globale al rischio comporta inevitabilmente che il rischio di criminalità finanziaria non venga trattato soltanto come una questione di rilevazione, intervento e conformità, ma come una materia di propensione al rischio, di prioritarizzazione e di giudizio di governance. Questo spostamento è di grande rilievo, poiché molte organizzazioni continuano a collocare il presidio del rischio di criminalità finanziaria essenzialmente come punto terminale normativo del processo decisionale: un’attività, un prodotto, una relazione o una transazione vengono valutati alla luce di requisiti stabiliti, e a tale valutazione segue un giudizio in termini di ammissibilità, mitigazione o escalation. Sebbene tale modello rimanga necessario, esso è insufficiente quando la questione reale non si esaurisce nella conformità normativa, ma riguarda la combinazione di rischi che un’organizzazione è disposta ad assumere alla luce della propria strategia, della propria capacità operativa, della propria posizione nella società e della propria esposizione a shock esterni. Un segmento di clientela può ancora apparire gestibile attraverso una lente ristretta di contrasto alla criminalità finanziaria, ma assumere un significato del tutto diverso quando entrano in considerazione anche la scarsità di capacità specialistiche, una sensibilità sanzionatoria accentuata, il rischio reputazionale, l’attenzione politica o la dipendenza da terzi. In questa prospettiva più ampia, la propensione al rischio non è una nozione astratta di policy, bensì una concreta questione di governo relativa ai limiti di un’esposizione spiegabile e sostenibile.
La dimensione della prioritarizzazione è altrettanto rilevante in questo contesto. Nessuna organizzazione dispone di risorse illimitate, di tempo illimitato o di capacità di assorbimento illimitata. Ciò significa che devono essere compiute scelte circa i settori nei quali risultano necessari un rafforzamento, un approfondimento oppure, al contrario, una maggiore moderazione. In un modello compartimentato, tali scelte vengono facilmente effettuate separatamente in ciascun dominio, con la conseguenza che le priorità possono entrare in conflitto tra loro. Una priorità commerciale può condurre ad accelerare l’onboarding, mentre una priorità operativa può privilegiare l’efficienza, una priorità tecnologica l’automazione e una priorità di conformità uno screening più rigoroso. Ciascuna di tali scelte può risultare difendibile se considerata isolatamente, ma in assenza di un bilanciamento integrato i loro effetti combinati possono aggravare la struttura complessiva del rischio. L’approccio globale al rischio richiede pertanto che la prioritarizzazione non avvenga soltanto all’interno delle singole funzioni, ma a un livello nel quale gli effetti reciproci divengano visibili. La questione allora non consiste semplicemente nell’individuare dove si collochi il più rilevante rischio autonomo di criminalità finanziaria, bensì nel determinare dove una capacità limitata possa essere impiegata con la massima efficacia per ridurre un’esposizione composita. Ciò può significare che non siano le allerte più visibili a meritare la priorità, bensì le fonti sottostanti di accumulazione del rischio, quali difetti strutturali dei dati, una governance poco chiara delle eccezioni, la dipendenza da terzi vulnerabili o un’espansione strategica che procede più rapidamente di quanto il sistema di presidio sia in grado di sostenere.
Il giudizio di governance costituisce l’elemento conclusivo di questo approccio, perché in ultima analisi non sono i sistemi o i registri, bensì gli amministratori e i responsabili senior del rischio a decidere quali combinazioni di incertezza, rendimento, responsabilità sociale e sensibilità all’enforcement rimangano accettabili. Nell’ambito della gestione integrata del rischio di criminalità finanziaria, questo punto è particolarmente delicato, poiché il rischio di criminalità finanziaria viene spesso rappresentato come un dominio nel quale regole oggettive determinerebbero in larga misura il bilanciamento. Tale rappresentazione trascura il fatto che molte decisioni sostanziali intervengono in zone grigie nelle quali la liceità formale non coincide con un prudente giudizio di governance. La questione se un ingresso in un mercato, un lancio di prodotto, un segmento di clientela o una struttura distributiva siano accettabili dipende raramente soltanto dall’assenza di elementi espressamente vietati. Essa dipende anche dal grado in cui la composizione complessiva del rischio possa ancora essere governata, spiegata e difesa in modo credibile. L’approccio globale al rischio rende visibile tale responsabilità di governance e impedisce che il presidio del rischio di criminalità finanziaria venga ridotto a una mera validazione tecnica ex post. In questo modo, la gestione integrata del rischio di criminalità finanziaria viene collocata pienamente nella sfera della decisione strategica, dove non sono in gioco soltanto la verifica normativa, ma anche l’autolimitazione istituzionale, la coerenza della propensione al rischio e la credibilità della governance.
L’approccio globale al rischio come fondamento della governance adattiva
L’approccio globale al rischio costituisce il fondamento della governance adattiva perché la realtà contemporanea del rischio è caratterizzata da rapidi mutamenti nei modelli di minaccia, nelle possibilità tecnologiche, negli equilibri geopolitici, nelle aspettative di enforcement e nel livello di tolleranza sociale rispetto ai fallimenti di integrità. In un simile contesto, un modello di governance statico non è sufficiente, per quanto elaborati possano essere i ruoli formali, i comitati e i documenti di policy. Un’organizzazione può disporre di poteri dettagliati, di linee di escalation fisse e di cicli periodici di reporting, e tuttavia reagire troppo lentamente, sul piano della governance, a minacce convergenti che si sviluppano al di fuori delle categorie convenzionali. In questo contesto, governance adattiva non significa improvvisazione manageriale, ma capacità di combinare struttura e agilità. Nell’ambito della gestione integrata del rischio di criminalità finanziaria, ciò implica che la governance non sia soltanto in grado di eseguire controlli stabiliti, ma anche di riconoscere tempestivamente l’evoluzione dei modelli di interazione tra rischi e di organizzare di conseguenza la risposta di governance appropriata. Uno spostamento improvviso delle tensioni geopolitiche, nuove forme di manipolazione dell’identità digitale, cambiamenti nella prassi sanzionatoria o una combinazione inattesa di comportamento della clientela e tensioni operative possono determinare il permanere di presìdi formalmente intatti mentre la loro efficacia sostanziale si erode. In assenza di governance adattiva, tale erosione diviene spesso visibile soltanto dopo la materializzazione degli incidenti.
Un approccio globale al rischio sostiene la governance adattiva spostando l’attenzione dall’adeguatezza isolata dei controlli a una valutazione continua delle interconnessioni, delle dipendenze e della reattività del sistema. Ciò richiede un’infrastruttura di governance che non si limiti a domandarsi se ogni singolo dominio abbia assolto il proprio ruolo, ma soprattutto se l’organizzazione, considerata nel suo complesso, raccolga i segnali con sufficiente rapidità, li interpreti correttamente e li traduca in adeguamenti delle decisioni, delle capacità, delle soglie o della propensione al rischio. Nell’ambito della gestione integrata del rischio di criminalità finanziaria, ciò significa che le escalation non dovrebbero essere attivate soltanto da incidenti classici o dal superamento di soglie, ma anche da schemi di accumulazione e di convergenza. Un aumento delle frizioni con la clientela combinato con una crescita della pressione sugli organici, con un deterioramento della tracciabilità dei dati e con una maggiore esposizione geopolitica può essere più rilevante sul piano della governance rispetto a un singolo superamento isolato di un indicatore chiave di rischio. Allo stesso modo, una serie di piccole eccezioni in materia di onboarding, di revisione periodica, di gestione delle sanzioni e di supervisione dei terzi può, se considerata nel suo insieme, sollevare una vera questione di governance circa la sostenibilità del modello operativo. La governance adattiva non richiede dunque più reporting in senso astratto, bensì sistemi di segnalazione più finemente progettati e calibrati sui punti nei quali i rischi convergono e nei quali l’organizzazione deve poter intervenire tempestivamente.
In questo senso, l’approccio globale al rischio incide anche direttamente sulla qualità del board challenge e della supervisione da parte del senior management. La governance adattiva presuppone infatti che gli organi apicali non si limitino a ricevere informazioni, ma siano anche in grado di vagliarle alla luce della loro coerenza interna, delle ipotesi implicite e dell’accumulazione nascosta di vulnerabilità. Nell’ambito della gestione integrata del rischio di criminalità finanziaria, ciò significa che gli organi di governo non dovrebbero accontentarsi di messaggi rassicuranti provenienti da domini separati quando i collegamenti tra tali domini non siano stati resi visibili. Un programma di miglioramento della sicurezza informatica, una diminuzione della frode, un report sanzionatorio stabile e un esito di audit accettabile possono, nel loro insieme, continuare a offrire un quadro fuorviante qualora, nel frattempo, l’organizzazione sia divenuta più dipendente da terzi, la qualità dei dati sottostanti della clientela si sia deteriorata e la pressione commerciale sia aumentata. La governance adattiva richiede pertanto una cultura di governance orientata a interrogare i collegamenti, gli effetti secondari e il significato che i mutamenti esterni rivestono per la composizione interna del rischio. Sotto questo profilo, l’approccio globale al rischio opera come una cornice concettuale di governance che impedisce di confondere l’ordine formale con un presidio effettivo. Esso non rende la governance più diffusa, ma più esigente sul piano sostanziale, imponendo agli organi decisionali di valutare i rischi nelle loro interrelazioni concrete e non soltanto nella loro classificazione amministrativa.
La gestione integrata del rischio di criminalità finanziaria come componente dell’architettura del rischio a livello d’impresa
La gestione integrata del rischio di criminalità finanziaria deve, nell’ambito di un approccio globale al rischio, essere collocata come componente integrante dell’architettura del rischio a livello d’impresa, perché altrimenti esiste il pericolo che il presidio della criminalità finanziaria si sviluppi come un’infrastruttura specialistica posta accanto, anziché all’interno, del più ampio sistema di governo del rischio. Tale distinzione è fondamentale. Un’infrastruttura specialistica può essere tecnicamente sofisticata, sostenuta da strumenti di monitoraggio avanzati, da quadri di policy dettagliati e da competenze approfondite, e nondimeno rimanere troppo debolmente integrata nel modo in cui l’organizzazione ordina l’insieme dei propri rischi sul piano della governance. Quando la gestione integrata del rischio di criminalità finanziaria opera come un dominio più o meno autonomo, sussiste una concreta possibilità che decisioni importanti in materia di strategia, sviluppo di prodotti, ingresso nei mercati, esternalizzazione, tecnologia e allocazione del capitale vengano assunte senza che la dimensione dell’integrità sia stata strutturalmente incorporata sin dall’inizio. In pratica, il presidio della criminalità finanziaria diventa allora una verifica aggiuntiva, una funzione di escalation o un meccanismo correttivo che interviene dopo che le scelte essenziali di progettazione sono già state compiute. Un’architettura del rischio a livello d’impresa, per contro, presuppone che la gestione integrata del rischio di criminalità finanziaria non si colleghi soltanto in una fase successiva all’esecuzione, ma contribuisca a modellare i parametri entro i quali si sviluppano crescita, innovazione e cooperazione esterna.
Tale collocazione all’interno dell’architettura del rischio a livello d’impresa comporta implicazioni tanto concettuali quanto istituzionali. Sul piano concettuale, ciò significa che il rischio di criminalità finanziaria viene riconosciuto come una dimensione del rischio che incide su pressoché tutte le decisioni fondamentali dell’impresa, dalla strategia della clientela alla governance dei prodotti, dalla selezione dei terzi alla preparazione alle crisi. Sul piano istituzionale, ciò significa che le funzioni rilevanti, i dati, le linee di reporting e i percorsi di escalation sono progettati in modo tale che la gestione integrata del rischio di criminalità finanziaria non dipenda né da influenze occasionali né da relazioni personali tra le funzioni di controllo, ma entri a far parte strutturalmente della logica centrale del rischio dell’istituzione. In un’architettura di questo tipo, le considerazioni di contrasto alla criminalità finanziaria non restano confinate ai comitati di compliance o ai forum specialistici di revisione, ma vengono collegate alle valutazioni del rischio d’impresa, ai cicli di pianificazione strategica, ai programmi di resilienza operativa e alle deliberazioni del consiglio in materia di rischio. L’effetto non è la perdita della specializzazione del dominio. Accade l’esatto contrario. Attraverso l’integrazione nell’architettura del rischio a livello d’impresa, il sapere specialistico viene meglio collocato per influenzare concretamente quelle decisioni che determineranno in misura rilevante l’esposizione futura in termini di integrità.
Inoltre, tale radicamento rende evidente che l’efficacia della gestione integrata del rischio di criminalità finanziaria dipende in misura considerevole da scelte architetturali collocate al di fuori dell’immediato dominio della compliance. Un’istituzione può disporre di controlli avanzati di contrasto alla criminalità finanziaria e nondimeno restare strutturalmente vulnerabile qualora la governance dei prodotti non tenga adeguatamente conto delle traiettorie di uso improprio, qualora l’architettura dei dati non consenta collegamenti affidabili tra informazioni relative ai clienti, alle transazioni e ai terzi, qualora il modello operativo faccia eccessivo affidamento su escalation manuali o qualora la governance strategica non colleghi in misura sufficiente l’espansione commerciale alla capacità di controllo. Il fatto di collocare la gestione integrata del rischio di criminalità finanziaria all’interno dell’architettura del rischio a livello d’impresa permette di comprendere che tali vulnerabilità non sono meri problemi di implementazione, ma autentiche questioni architetturali che incidono sulla governabilità complessiva. Il valore di questo approccio risiede pertanto nella sua capacità di elevare il presidio della criminalità finanziaria da funzione specialistica di compliance a elemento strutturale del modo in cui l’organizzazione comprende, ordina, dà priorità e traduce il rischio sul piano della governance. In tal modo, la dimensione dell’integrità non viene assorbita dal risk management generale, ma ancorata a un livello superiore nella logica complessiva del presidio istituzionale.
L’integrazione del rischio come condizione di un governo credibile del sistema
L’integrazione del rischio costituisce la condizione di un governo credibile del sistema perché nessuna organizzazione, istituzione finanziaria o sistema pubblico può essere governato in modo adeguato quando le sue vulnerabilità più importanti si sviluppano in punti di intersezione che restano invisibili dal punto di vista della governance. Il governo del sistema presuppone più della presenza di misure di presidio separate, più del rispetto di responsabilità formali e più di una rendicontazione periodica di prestazioni specifiche di singoli domini. Esso presuppone una capacità coerente di comprendere il quadro complessivo del rischio, di riconoscere l’interazione tra le vulnerabilità e di strutturare le scelte di governance sulla base della composizione reale del rischio anziché sulla base di una segmentazione organizzativa. Nell’ambito della gestione integrata del rischio di criminalità finanziaria, tale esigenza è particolarmente evidente, perché l’abuso economico-finanziario si annida frequentemente nelle zone di connessione dell’organizzazione: tra l’accettazione della clientela e la progettazione dei prodotti, tra la tecnologia e l’azione umana, tra l’ambizione commerciale e la capacità operativa, tra la dipendenza esterna e la verifica interna, oppure tra il mutamento geopolitico e l’obbligo giuridico. Quando tali zone non vengono comprese nella loro interdipendenza, ciò che rimane è un modello di governance attivo sul piano procedurale, ma frammentato nella sostanza. L’integrazione del rischio, al contrario, rende visibile il modo in cui tensioni specifiche interne al sistema si trasformano in un’esposizione istituzionale più ampia.
Per questa via, il governo del sistema assume anche un significato più sostanziale. La questione non è soltanto se il consiglio sia informato, ma se disponga di informazioni che gli consentano di comprendere correttamente le relazioni causali e di stabilire le giuste priorità. Un’organizzazione può disporre di quantità imponenti di informazioni gestionali e tuttavia non riuscire a realizzare un governo efficace del sistema se tali informazioni non mostrano dove si collochino effettivamente i punti di pressione sottostanti. Nell’ambito della gestione integrata del rischio di criminalità finanziaria, ciò significa che il governo del sistema dipende dalla comprensione del modo in cui problemi di dati, una cultura dell’eccezione, vincoli sugli organici, limiti dei modelli, complessità dei prodotti e minacce esterne incidano congiuntamente sull’efficacia del presidio. In assenza di tale comprensione, gli interventi rimangono spesso orientati ai sintomi anziché alle cause. Le allerte vengono aumentate, le revisioni accelerate, le regole di policy irrigidite e i programmi di formazione ampliati, mentre le fonti strutturali della vulnerabilità restano intatte. L’integrazione del rischio impone una forma più profonda di governo, nella quale esiste visibilità non soltanto sugli eventi in sé, ma anche sull’architettura che determina perché tali eventi possano sorgere e perché si concentrino in determinati punti.
In questo senso, un approccio globale al rischio dimostra che la gestione integrata del rischio di criminalità finanziaria costituisce, in ultima analisi, una cartina di tornasole della qualità dell’autocomprensione istituzionale. Un’organizzazione che ordina i rischi unicamente in categorie formalmente separate può ancora rispettare le regole, superare audit e ottimizzare singoli controlli, ma incontrerà difficoltà nel riconoscere tempestivamente i più gravi schemi di convergenza, accelerazione e impatto sistemico. Un’organizzazione che, al contrario, scelga l’integrazione del rischio sviluppa non solo una migliore capacità di rilevazione, ma anche una più forte capacità di comprendere quali combinazioni di attività, dipendenze e incentivi la rendano vulnerabile sul piano della governance. Tale capacità è decisiva per il governo del sistema, poiché segna la differenza tra reagire agli incidenti e strutturare il processo decisionale in via preventiva attorno ai contorni reali dell’esposizione. La gestione integrata del rischio di criminalità finanziaria assume così una collocazione che va oltre la compliance, oltre il controllo specialistico dell’integrità e oltre la reazione all’enforcement. Essa diventa una componente centrale della capacità di governance di agire in modo coerente, spiegabile e resiliente in condizioni di incertezza, pressione e minacce convergenti.
