La governance dell’integrità si sposta dal rispetto delle regole alla conquista dimostrabile della fiducia degli stakeholder, delle autorità di vigilanza e della società

La governance dell’integrità come passaggio dalla correttezza giuridica alla credibilità istituzionale

L’approccio classico alla governance dell’integrità parte spesso dall’ipotesi che un’organizzazione sia sufficientemente affidabile dal punto di vista della governance quando dispone di policy adeguate, procedure chiare, un control framework documentato, formazione periodica, linee interne di reporting e un processo formale di gestione degli incidenti. Tali elementi restano necessari, ma non costituiscono più un esito convincente. Il limite centrale di un approccio esclusivamente procedurale risiede nel fatto che esso traduce l’affidabilità nella presenza di strumenti, mentre gli stakeholder e le autorità di vigilanza si interessano sempre più al funzionamento effettivo, agli effetti, alla spiegabilità e al comportamento istituzionale sotto pressione. Un’organizzazione può disporre di un quadro normativo esteso e, nondimeno, risultare carente quando gli scostamenti vengono normalizzati in modo strutturale, quando le escalation sono sì registrate ma non conducono realmente a cambiamenti, quando i dipartimenti legali sono mobilitati principalmente per proteggere posizioni difensive, oppure quando le informazioni di gestione sono aggregate in modo tale che i segnali critici perdano la loro incisività di governance. In tali situazioni si manifesta uno scarto tra integrità su carta e affidabilità effettiva. L’organizzazione può allora dimostrare che esistono meccanismi formali di controllo, ma non che tali meccanismi orientano realmente i comportamenti significativi dal punto di vista sociale, prudenziale e istituzionale.

Il passaggio verso la conquista dimostrabile della fiducia significa che la governance dell’integrità deve essere valutata a partire dalla domanda se l’organizzazione legittimi la propria posizione sociale in modo tracciabile. Ciò richiede più di un’amministrazione completa della compliance. Richiede una pratica di governance nella quale decisioni, eccezioni, priorità e misure di remediation possano essere ricondotte a valutazioni normative esplicite. Perché è stato accettato un determinato rischio? Perché una relazione con un cliente è stata cessata, limitata o mantenuta? Perché uno scenario di monitoraggio delle transazioni è stato rafforzato oppure, al contrario, lasciato invariato? Perché un rischio sanzionatorio è stato interpretato in un certo modo? Perché è stato scelto un uso più intensivo dei dati mentre erano disponibili alternative meno intrusive? Domande di questo tipo non possono ricevere una risposta convincente attraverso il solo riferimento alla conformità procedurale. Esse richiedono una struttura di responsabilità nella quale la norma giuridica, l’appetito al rischio, il bilanciamento degli interessi, la fattibilità operativa, l’impatto sul cliente e l’aspettativa sociale siano collegati in modo visibile. In questo contesto, la Gestione integrata dei rischi di criminalità finanziaria assume un significato più ampio: non si tratta soltanto di contrastare gli abusi finanziari ed economici, ma di gestire, a livello di governance, la tensione tra protezione del sistema finanziario, accesso ai servizi finanziari, controllo fondato sui dati e obbligo di agire in modo proporzionato, equo e spiegabile.

La credibilità istituzionale emerge soltanto quando il mondo esterno può ragionevolmente constatare che un’organizzazione mantiene una linea normativa coerente, anche sotto pressione commerciale, mediatica, prudenziale o operativa. Ciò presuppone una diversa concezione del successo. L’assenza di incidenti non è determinante; ciò che conta è il modo in cui i segnali vengono identificati, valutati, sottoposti a escalation, trattati e tradotti in miglioramenti strutturali. Il numero di controlli effettuati non è decisivo; ciò che conta è se tali controlli intercettino i rischi materiali che l’organizzazione crea per i clienti, gli attori della catena, i mercati e la società. L’ampiezza della documentazione delle policy non determina la fiducia; ciò che rileva è la misura in cui le policy orientano effettivamente i comportamenti, la definizione delle priorità e la remediation. In un simile approccio, la fiducia non viene rivendicata attraverso la comunicazione, la gestione della reputazione o dichiarazioni generali di valori, ma viene acquisita mediante una pratica di governance controllabile. La governance dell’integrità diventa così una disciplina che supera la correttezza giuridica e si concentra sulla questione più ampia se l’organizzazione, attraverso il proprio comportamento effettivo, dimostri che il potere, l’informazione, il capitale e il margine decisionale sono nelle mani di un soggetto che merita di essere considerato affidabile.

La conformità formale come norma minima, non come punto di arrivo della governance

La conformità formale conserva un ruolo indispensabile nella moderna governance dell’integrità. Senza il rispetto delle leggi e dei regolamenti, degli standard di vigilanza, dei requisiti autorizzativi, dei regimi sanzionatori, degli obblighi antiriciclaggio, delle norme sulla protezione della vita privata, dei requisiti di governance e dei mandati interni, viene meno il fondamento sul quale può essere costruita la fiducia. Tuttavia, tale fondamento non coincide con l’edificio stesso. Il solo fatto che un’organizzazione possa dimostrare di essere rimasta entro i limiti formali della regolamentazione applicabile non fornisce una risposta sufficiente alla domanda se essa abbia adempiuto alla propria responsabilità sociale in modo convincente. Le leggi e i regolamenti sono necessariamente generali, astratti e spesso reattivi. Essi sono elaborati per categorie di situazioni, mentre le organizzazioni operano quotidianamente in circostanze concrete, mutevoli e spesso ibride, nelle quali interessi giuridici, commerciali, tecnologici e sociali si intersecano. Una decisione può quindi essere tecnicamente difendibile e apparire, nondimeno, insufficientemente affidabile. Una decisione strettamente corretta sul piano giuridico può essere percepita come fredda, squilibrata o non sufficientemente prudente quando l’organizzazione non è in grado di spiegare come siano stati ponderati gli interessi in gioco e perché alternative meno gravose fossero inadeguate.

All’interno delle istituzioni finanziarie, questa tensione emerge con particolare intensità nella Gestione integrata dei rischi di criminalità finanziaria. Un’istituzione può effettuare la conoscenza del cliente conformemente alle procedure stabilite, documentare le classificazioni di rischio, trattare le segnalazioni nei termini ed effettuare le comunicazioni quando la legge lo richiede, pur restando carente quando il sistema conduce a un’esclusione inspiegata, a un’incertezza prolungata per i clienti, a valutazioni meccaniche dei rischi, a meccanismi di correzione insufficienti o a politiche incoerenti tra gruppi di clienti comparabili. Un’istituzione finanziaria che rispetta formalmente gli obblighi antiriciclaggio può perdere fiducia quando non è in grado di dimostrare che i propri modelli di rischio sono proporzionati, che la qualità dei dati è adeguatamente garantita, che i falsi positivi sono ridotti in modo appropriato, che la revisione umana conserva un’effettiva rilevanza e che gli interessi commerciali non costituiscono una via implicita di eccezione per le relazioni ad alto valore economico. In questa prospettiva, la conformità formale diventa un limite inferiore necessario, ma non una prova convincente di integrità. La questione si sposta verso il funzionamento sostanziale dell’insieme: la Gestione integrata dei rischi di criminalità finanziaria contribuisce effettivamente alla protezione del sistema finanziario in modo spiegabile, coerente e ragionevole?

Ciò significa che la governance dell’integrità non può più essere organizzata come un processo lineare di identificazione delle norme, progettazione delle procedure, controllo e reporting. Deve essere strutturata come un sistema ciclico di governance nel quale le norme formali sono continuamente tradotte in aspettative comportamentali concrete, scelte operative, utilizzo dei dati, criteri di escalation e meccanismi di remediation. In tale quadro, deve restare visibile il modo in cui l’organizzazione tratta le situazioni nelle quali le regole lasciano margine di valutazione, le norme entrano in conflitto, le informazioni sono incerte o i rischi non possono essere interamente eliminati. La qualità della governance dell’integrità si rivela allora nel modo in cui l’organizzazione governa l’incertezza. I dilemmi vengono resi espliciti o appianati giuridicamente a posteriori? Le eccezioni vengono registrate in modo visibile o trattate informalmente? I segnali provenienti dai reclami, dalla vigilanza, dai media, dall’audit interno, dal contatto con la clientela e dai team operativi vengono riuniti o mantenuti in silos separati? La remediation viene trattata come un rischio reputazionale o come prova della capacità di apprendimento? Un’organizzazione che risponde seriamente a tali domande mostra che la conformità non è trattata come un punto di arrivo, ma come il punto di partenza dell’affidabilità istituzionale.

La spiegabilità come condizione centrale della fiducia

La spiegabilità costituisce una delle condizioni centrali che consentono alla fiducia nelle organizzazioni moderne di sussistere. In un contesto in cui le decisioni sono sempre più supportate da analisi dei dati, modelli di rischio, segnali automatizzati, dipendenze di catena e competenze specialistiche, non basta che l’organizzazione comprenda internamente come una decisione sia stata presa. L’organizzazione deve anche poter mostrare che il processo decisionale rilevante è tracciabile per coloro che ne subiscono le conseguenze o che sono incaricati di vigilare su di esso. Ciò non significa che tutte le informazioni debbano essere rese integralmente pubbliche, né che metodologie riservate, informazioni sensibili per le indagini o analisi commercialmente sensibili debbano essere condivise senza restrizioni. Significa tuttavia che l’organizzazione deve poter spiegare la logica normativa, la valutazione del rischio, il controllo di governance e la possibilità di correzione che sono alla base delle sue decisioni. Senza tale spiegabilità, può rapidamente imporsi l’immagine di un sistema istituzionale chiuso, nel quale il potere viene esercitato senza sufficienti contrappesi, trasparenza o correzione.

Nella Gestione integrata dei rischi di criminalità finanziaria, la spiegabilità è particolarmente complessa, poiché le istituzioni devono continuamente trovare un equilibrio tra efficacia della gestione dei rischi, riservatezza dei metodi di rilevazione, protezione dei dati personali, scalabilità operativa, aspettative prudenziali e tutela dei clienti. Un’istituzione non può sempre esporre integralmente perché una specifica transazione sia stata segnalata, perché una relazione con un cliente sia sottoposta a un esame approfondito o perché determinati schemi siano considerati a rischio accresciuto. Al tempo stesso, essa non può rifugiarsi dietro l’argomento secondo cui la gestione dei rischi di criminalità finanziaria sarebbe, per sua natura, riservata o tecnica. La fiducia richiede che, almeno a livello sistemico, sia spiegabile come vengono stabilite le categorie di rischio, come vengono validati i modelli, come viene garantita la qualità dei dati, come vengono identificati i bias, come vengono sottoposti a escalation gli scostamenti, come viene monitorata la proporzionalità e come i clienti dispongano di meccanismi effettivi di correzione o remediation quando sono colpiti in modo sproporzionato. La sfida non risiede dunque in una trasparenza totale, ma in una spiegabilità significativa: un livello di informazione sufficiente per valutare la legittimità, senza compromettere il funzionamento della gestione dei rischi.

La spiegabilità, inoltre, non è soltanto una qualità comunicativa, ma un requisito di progettazione della governance. Una decisione che non può essere spiegata in modo convincente a posteriori è spesso una decisione che non è stata sufficientemente strutturata a monte. Per questa ragione, la governance dell’integrità deve imporre, sin dalla progettazione dei processi, che le scelte rilevanti siano documentate, che i bilanciamenti siano esplicitati e che le responsabilità siano chiaramente attribuite. Ciò vale per l’accettazione dei clienti, lo sviluppo dei prodotti, il monitoraggio delle transazioni, lo screening delle sanzioni, la gestione dei terzi, l’utilizzo dei dati, la risposta agli incidenti, i programmi di remediation e la reportistica al consiglio. La spiegabilità richiede che le informazioni di gestione non mostrino soltanto volumi operativi, ma rendano visibili anche questioni normative: dove compaiono effetti sproporzionati, dove si accumulano i rischi, dove le eccezioni diventano frequenti, dove si allungano i tempi, dove sorgono frizioni tra gestione dei rischi e accesso ai servizi, e dove la pratica effettiva diverge dalla policy formale? Un’organizzazione che tratta strutturalmente tali questioni crea le condizioni nelle quali la fiducia non dipende dalla reputazione, ma da una qualità di governance controllabile.

La proporzionalità come limite al potere e alla gestione dei rischi

La proporzionalità è divenuta una delle misure più determinanti di una governance dell’integrità credibile. Le organizzazioni dispongono di mezzi sempre più estesi per monitorare i comportamenti, raccogliere dati, filtrare le relazioni, bloccare transazioni, limitare l’accesso, irrigidire le condizioni contrattuali e segmentare i gruppi di rischio. Tali mezzi possono essere necessari per prevenire abusi, frodi, riciclaggio di denaro, elusione delle sanzioni e altre forme di criminalità finanziaria ed economica. Al tempo stesso, ogni intensificazione del controllo comporta il rischio che gli interessi legittimi dei clienti, dei collaboratori, dei fornitori o di altri soggetti interessati siano colpiti in modo sproporzionato. Un’organizzazione che concepisce la gestione dei rischi al massimo livello, senza sufficiente attenzione alla limitazione, alla sfumatura e alla remediation, può agire in modo formalmente difendibile e, nondimeno, perdere fiducia. La domanda sociale allora non è se l’organizzazione avesse il diritto di fare qualcosa, ma se avrebbe dovuto farlo in quel modo, con quella intensità, per quella durata e con quelle conseguenze.

La Gestione integrata dei rischi di criminalità finanziaria deve pertanto essere concepita come un sistema proporzionato di gestione dei rischi, e non come un meccanismo di difesa illimitato contro ogni rischio prudenziale o reputazionale immaginabile. Ciò richiede una distinzione netta tra rischi elevati, medi e bassi; un adeguato approfondimento della conoscenza del cliente; una differenziazione nel monitoraggio; una tempestiva eliminazione dei segnali obsoleti; il controllo della minimizzazione dei dati; test periodici degli scenari; e attenzione di governance agli effetti collaterali delle misure. Quando un’istituzione esclude ampie categorie di clienti perché la valutazione individuale del rischio è complessa o costosa, ciò può risultare attraente sul piano operativo, ma problematico sul piano istituzionale. Quando le transazioni vengono trattenute per un periodo prolungato senza una comunicazione chiara né un’effettiva escalation, il rischio per l’istituzione può essere ridotto, ma la fiducia dei soggetti interessati può essere gravemente compromessa. Quando i modelli di rischio vengono rafforzati principalmente per timore di critiche prudenziali, senza un’analisi proporzionata dell’impatto sul cliente, emerge un modello di governance nel quale il controllo della responsabilità diventa più importante dell’erogazione affidabile dei servizi. La proporzionalità richiede che tali effetti non siano trattati a posteriori come sottoprodotti scomodi, ma che facciano parte sin dall’origine del processo decisionale di governance.

La proporzionalità presuppone inoltre che rigore e ragionevolezza non siano trattati come opposti. Un’istituzione può essere rigorosa quando i rischi lo richiedono e, al tempo stesso, agire con prudenza, con trasparenza entro i limiti necessari, con orientamento alla remediation e senza discriminazione. La credibilità della governance dell’integrità dipende da tale combinazione. Un rigore insufficiente mina la fiducia, poiché lascia spazio ad abusi, negligenza e opportunismo. Un rigore eccessivo e indifferenziato mina anch’esso la fiducia, poiché i clienti legittimi, i collaboratori o gli operatori di mercato si trovano confrontati con un sistema che li tratta come portatori di rischio senza una sufficiente valutazione individuale. La sfida di governance consiste nel concepire un modello di gestione dei rischi sufficientemente robusto per affrontare minacce reali, ma sufficientemente delimitato da non diventare esso stesso una fonte di danno istituzionale. In tale modello, la proporzionalità opera come limite normativo al potere organizzativo. Essa impone la domanda se la misura scelta sia appropriata, necessaria, equilibrata e spiegabile alla luce dell’obiettivo perseguito.

La responsabilità tracciabile e l’assunzione di titolarità da parte della governance

Un’organizzazione merita fiducia soltanto quando è chiaro chi porta la responsabilità delle scelte effettuate sotto le rubriche dell’integrità, della compliance e della gestione dei rischi. In molte organizzazioni complesse, esiste il rischio che la responsabilità sia dispersa tra comitati, funzioni, linee, modelli, consulenti esterni, partner di outsourcing e sistemi tecnici, rendendo difficile, a posteriori, ricostruire il luogo in cui una decisione sia stata effettivamente presa e sulla base di quale valutazione. Un simile schema è particolarmente dannoso per la fiducia. Non perché ogni errore debba poter essere attribuito a una sola persona, ma perché l’affidabilità istituzionale richiede che potere e responsabilità restino visibili simultaneamente. Quando decisioni hanno conseguenze importanti per i clienti, i mercati o la società, deve essere chiaro quale organo abbia fissato l’appetito al rischio, quale funzione abbia tradotto la norma di policy, quale linea fosse responsabile dell’esecuzione, quale funzione di controllo abbia effettuato la revisione, quali escalation abbiano avuto luogo e quali lezioni di governance siano state tratte dai risultati.

Per la Gestione integrata dei rischi di criminalità finanziaria, la responsabilità tracciabile riveste un’importanza particolare. La gestione dei rischi di criminalità finanziaria tocca generalmente più ambiti contemporaneamente: business, compliance, legal, operations, technology, data science, privacy, risk management, internal audit e senior management. Può così facilmente crearsi un sistema frammentato nel quale ciascuna componente controlla soltanto una parte della catena e nessuno porta l’insieme dal punto di vista della governance. La conoscenza del cliente può allora essere considerata di competenza delle operations, lo screening delle sanzioni di competenza della compliance, la validazione dei modelli di competenza del risk, la qualità dei dati di competenza della technology, la comunicazione con il cliente di competenza del business e la remediation come un compito progettuale successivo a un intervento prudenziale. Un tale modello può apparire completo sulla carta, ma risultare carente nella pratica perché manca una visione integrata dei rischi cumulativi, delle incoerenze, degli effetti collaterali e dei dilemmi normativi. La Gestione integrata dei rischi di criminalità finanziaria richiede quindi un’assunzione esplicita di titolarità da parte della governance sull’intera catena, inclusa la domanda su come i rischi di criminalità finanziaria vengano bilanciati con l’impatto sul cliente, la capacità operativa, l’utilizzo dei dati, la pressione commerciale e le aspettative sociali.

La responsabilità tracciabile significa anche che il consiglio non può limitarsi a prendere periodicamente conoscenza di dashboard, heatmap e dichiarazioni di assurance. Il coinvolgimento della governance deve emergere da un orientamento sostanziale riguardante l’appetito al rischio, le priorità, le eccezioni, le carenze, i programmi di remediation e i dilemmi. Il consiglio deve poter spiegare perché determinati rischi sono stati accettati, perché determinati investimenti sono stati realizzati o rinviati, perché determinati gruppi di clienti ricevono un’attenzione supplementare, perché determinati sistemi sono considerati sufficientemente affidabili e come i segnali provenienti dall’audit interno, dalle autorità di vigilanza, dai reclami, dai collaboratori e dalle evoluzioni esterne siano stati tradotti in adattamenti della policy o dell’esecuzione. In questo contesto, la responsabilità non coincide con la responsabilità finale formale. Si tratta di un’assunzione visibile di titolarità: la volontà e la capacità di trattare le questioni complesse di integrità non come sotto-ambiti tecnici o giuridici da delegare, ma come questioni centrali di legittimità istituzionale. Quando tale titolarità manca, emerge un’organizzazione che esegue controlli, ma che non può dimostrare in modo sufficiente di governare sé stessa dal punto di vista della governance.

Gli stakeholder e le autorità di vigilanza come pietra di paragone della legittimità esterna

In un modello orientato alla fiducia, gli stakeholder e le autorità di vigilanza non possono più essere considerati attori esterni che diventano rilevanti soltanto quando deve essere fornito un reporting, quando è in corso un’indagine o quando minaccia un danno reputazionale. Essi costituiscono una parte essenziale della prova da cui la governance dell’integrità trae la propria credibilità. Ciò non significa che l’organizzazione debba lasciare che la propria governance sia determinata dalla pressione pubblica, dal sentimento generato da incidenti o da aspettative in continuo mutamento. Significa tuttavia che l’organizzazione deve riconoscere che la propria definizione interna di controllo sufficiente non coincide automaticamente con ciò che dall’esterno è considerato affidabile, ragionevole e tracciabile. Un’organizzazione può essere internamente convinta della propria prudenza e, nondimeno, risultare carente quando comprende in modo insufficiente come le proprie decisioni incidano sui clienti, sui partner della catena, sui collaboratori, sulle autorità di vigilanza o sui gruppi sociali. La legittimità esterna richiede dunque una sensibilità strutturale ai segnali situati al di fuori della sala del consiglio e oltre il processo formale di compliance.

Le autorità di vigilanza valutano sempre meno soltanto l’esistenza dei framework richiesti, e sempre più il fatto che tali framework funzionino in modo dimostrabilmente efficace. Esse esaminano la cultura, l’attenzione della governance, la qualità delle escalation, la coerenza tra policy e pratica, l’efficacia della remediation, la qualità dei dati, la governance dei modelli, la proporzionalità delle misure e la misura in cui gli incidenti conducono a un miglioramento strutturale. Nella Gestione integrata dei rischi di criminalità finanziaria, ciò significa che le autorità di vigilanza non si interessano soltanto al numero di alert, segnalazioni, fascicoli o hit di screening, ma alla questione se l’istituzione comprenda e governi i rischi di criminalità finanziaria in modo integrato. L’identificazione dei rischi è alimentata da informazioni aggiornate sulle minacce? I segmenti di clientela sono realmente valutati in modo differenziato? I modelli sono periodicamente testati quanto alla loro efficacia e ai loro effetti non intenzionali? Le eccezioni alla policy di rischio sono monitorate in modo visibile? Le carenze sono corrette con un’urgenza appropriata? La prima linea è effettivamente resa titolare dei rischi di integrità, oppure la Gestione integrata dei rischi di criminalità finanziaria rimane un’attività isolata di seconda linea? Domande di questo tipo toccano il cuore della fiducia, poiché mostrano se l’istituzione trasformi i propri obblighi formali in un controllo sostanziale.

Gli stakeholder applicano inoltre un metro di valutazione più ampio rispetto alle autorità di vigilanza. I clienti considerano la prevedibilità, il trattamento equo, l’accessibilità, la remediation e una comunicazione comprensibile. I collaboratori considerano lo spazio disponibile per segnalare alert, resistere alle pressioni e sottoporre a escalation i dilemmi. Gli investitori considerano il controllo da parte della governance, l’esposizione alle sanzioni, la resilienza operativa e il rischio reputazionale. Gli attori sociali considerano la questione se le istituzioni che hanno accesso ai dati, al capitale e alle infrastrutture contribuiscano a un ordine economico affidabile o agiscano principalmente in modo difensivo quando emergono critiche. La governance dell’integrità non deve ridurre queste diverse prospettive al rischio reputazionale, ma trattarle come fonti di informazione sulla qualità del comportamento istituzionale. Un’organizzazione che risponde alle critiche esterne soltanto giuridicizzandole o neutralizzandole attraverso la comunicazione rischia di perdere segnali rilevanti. Un’organizzazione che, al contrario, esamina la critica come possibile indicazione di carenze in materia di spiegabilità, proporzionalità o responsabilità rafforza la propria capacità di meritare fiducia in modo dimostrabile.

tti della sua vita professionale. Non è semplicemente un principio; piuttosto, è il fondamento su cui si basano ogni azione e decisione all’interno della sua pratica legale. Con un impegno indistruttibile verso principi morali ed etici, assicura che il suo comportamento rifletta costantemente onestà, trasparenza e una forte coscienza morale.

Punti chiave:

1. Principio fondamentale: L’integrità non è solo un valore all’interno della pratica legale di van Leeuwen; è la pietra angolare che plasma la sua identità professionale. Sottolinea l’essenza del suo carattere ed è profondamente radicata nell’etica del suo lavoro legale.

2. Impegno indistruttibile: L’impegno di van Leeuwen verso l’integrità è inamovibile. È una forza guida che rimane costante, indipendentemente dalle sfide o complessità che potrebbe incontrare nella sua attività legale.

3. Standard morali ed etici: L’impegno per l’integrità va oltre la mera conformità legale. Van Leeuwen assicura che ogni decisione e azione sia in linea con i più alti standard morali ed etici, ponendo così un punto di riferimento per la professionalità nel campo legale.

4. Dimostrazione continua: L’integrità non è un concetto statico per van Leeuwen; è un principio vivo dimostrato attraverso azioni continue. Cerca di mostrare onestà e trasparenza in tutti gli affari, guadagnando fiducia e rispetto da parte di clienti, colleghi e della comunità legale.

5. Processo decisionale etico: Nella sua pratica legale, van Leeuwen sottolinea costantemente il processo decisionale etico. Ciò implica non solo il rispetto della lettera della legge, ma anche la considerazione delle più ampie implicazioni e dimensioni etiche di ogni caso.

6. Elevazione degli standard professionali: Incarnando l’integrità, van Leeuwen contribuisce all’elevazione degli standard professionali all’interno della comunità legale. Serve da modello, ispirando gli altri a dare priorità al comportamento etico e a mantenere l’integrità della professione legale.

7. Trasparenza: La trasparenza è un componente chiave dell’impegno di van Leeuwen verso l’integrità. Crede nell’apertura nella comunicazione e nelle azioni, assicurando che i clienti e gli interessati siano pienamente informati e possano confidare nell’integrità della sua pratica legale.

8. Coscienza morale: La forte coscienza morale di van Leeuwen funge da bussola che lo guida attraverso le complessità della pratica legale. Non informa solo le sue decisioni, ma favorisce anche un senso di responsabilità verso la giustizia e l’equità.

In conclusione, l’integrità non è solo un principio per l’avvocato Bas A.S. van Leeuwen; è la sostanza stessa della sua esistenza professionale. Attraverso un impegno indistruttibile verso principi morali ed etici, assicura che la sua pratica legale sia un faro di onestà, trasparenza e di una coscienza morale inamovibile. Questo impegno non definisce solo la sua identità professionale, ma contribuisce anche all’elevazione più ampia degli standard etici all’interno della professione legale.

Le aspettative sociali come ambiente normativo dinamico

La sfida contemporanea dell’integrità è sempre più plasmata da un ambiente sociale nel quale le aspettative evolvono più rapidamente di quanto le norme formali possano essere adattate. Le organizzazioni non operano più all’interno di un quadro normativo relativamente stabile, nel quale il significato di una condotta appropriata poteva essere dedotto principalmente dalla legislazione esistente, dagli orientamenti delle autorità di vigilanza e dai documenti di policy interna. Esse si muovono in un ambiente in cui digitalizzazione, frammentazione geopolitica, incertezza economica, aumento delle disuguaglianze, processi decisionali fondati sui dati, rischi legati al clima, pressione sanzionatoria, criminalità informatica e polarizzazione sociale sollevano continuamente nuove domande sul modo in cui potere e risorse dovrebbero essere impiegati. In questa realtà, l’integrità non deriva soltanto dal rispetto delle regole applicabili, ma anche dalla capacità di riconoscere tempestivamente quando una condotta formalmente ammissibile rischia di diventare socialmente insostenibile, vulnerabile dal punto di vista della governance o dannosa sul piano istituzionale. Ciò richiede un’organizzazione che non tratti le aspettative sociali come rumore di fondo attorno alla norma formale, ma come segnali rilevanti circa la legittimità della propria azione. La governance dell’integrità assume così una funzione di antenna: deve percepire dove i confini sociali si spostano, dove la fiducia viene messa sotto pressione e dove le procedure esistenti non offrono una risposta sufficiente a nuove forme di rischio, dipendenza o vulnerabilità.

Questa dinamica riveste particolare importanza per la Gestione integrata dei rischi di criminalità finanziaria, poiché i rischi di criminalità finanziaria sono fortemente influenzati dagli sviluppi geopolitici, tecnologici e sociali. L’elusione delle sanzioni, il riciclaggio di denaro basato sul commercio internazionale, la frode digitale, il furto d’identità, i flussi di fondi collegati ai cripto-asset, i rischi di corruzione nelle catene internazionali e l’uso abusivo di strutture giuridiche evolvono spesso più rapidamente di quanto i control framework tradizionali riescano a seguirli. Al tempo stesso, cresce l’aspettativa sociale secondo cui le istituzioni finanziarie non devono soltanto individuare tecnicamente tali rischi, ma anche governarli in modo che resti spiegabile e proporzionato. Un’istituzione che indebolisce i propri controlli mina la fiducia perché facilita gli abusi o non li previene in misura sufficiente. Un’istituzione che intensifica i propri controlli in modo non mirato può parimenti perdere fiducia, perché clienti legittimi vengono colpiti da blocchi, ritardi, etichette di rischio o meccanismi di esclusione insufficientemente giustificati a livello individuale. La norma sociale si muove così tra due poli: da un lato, l’aspettativa che le istituzioni finanziarie agiscano come gatekeeper contribuendo attivamente all’integrità del sistema finanziario; dall’altro, l’aspettativa che tale ruolo di gatekeeper non conduca ad arbitrarietà, esclusione sproporzionata o esercizio opaco del potere. La Gestione integrata dei rischi di criminalità finanziaria deve governare questa tensione in modo visibile.

Un’organizzazione che intenda meritare fiducia non può attendere passivamente che le aspettative sociali siano tradotte in nuove regolamentazioni, decisioni di enforcement o indignazione pubblica. Deve disporre di meccanismi che traducano sistematicamente i segnali sociali in questioni di governance. Ciò significa che reclami, attenzione mediatica, lettere delle autorità di vigilanza, dibattiti parlamentari, decisioni giudiziarie, analisi settoriali, rapporti sulle tipologie, segnali provenienti dai collaboratori, feedback dei clienti e indagini sugli incidenti non possono continuare a circolare separatamente all’interno di funzioni isolate. Devono essere riuniti in un processo di apprendimento di governance, nel quale si esamina se le valutazioni dei rischi, le policies, gli scenari, l’utilizzo dei dati, la comunicazione con i clienti e i processi di remediation esistenti corrispondano ancora al significato sociale della posizione occupata dall’organizzazione. In questo approccio, la sensibilità sociale non è uno strumento reputazionale, ma una forma di governance prudente. L’istituzione che riconosce per tempo che una pratica formalmente difendibile non è più considerata ragionevole dall’esterno non previene soltanto rischi giuridici e reputazionali, ma rafforza la propria continuità istituzionale. La fiducia si costruisce allora attraverso la capacità non solo di seguire le norme a posteriori, ma di interiorizzarle nella governance anticipando l’evoluzione delle aspettative.

Cultura, comportamenti e incentivi come vettori effettivi dell’integrità

Nessun quadro di integrità può funzionare in modo sostenibile quando cultura, comportamenti e incentivi orientano l’organizzazione in una direzione diversa da quella suggerita da policies, procedure e dichiarazioni formali. La vera qualità dell’integrità di un’organizzazione diventa spesso visibile nei momenti in cui le regole lasciano margine di apprezzamento, le informazioni sono incomplete, gli interessi commerciali pesano in modo rilevante, le scadenze creano pressione o la responsabilità può essere spostata altrove. In tali situazioni, non è soltanto il testo di una policy a determinare ciò che accade, ma la norma di fatto percepita dai collaboratori: quali segnali vengono premiati, quali avvertimenti vengono ignorati, quali persone ricevono margine di manovra, quali rischi vengono relativizzati, quali escalation sono considerate professionali e quali vengono percepite come scomode. Un’organizzazione può dichiarare pubblicamente che l’integrità ha priorità, mentre gli incentivi interni incoraggiano in pratica i collaboratori a collocare fatturato, rapidità, mantenimento della clientela o esecuzione priva di frizioni al di sopra della diligenza. La fiducia nasce quindi soltanto quando è visibile che la cultura e le strutture retributive sostengono l’ambizione formale di integrità anziché indebolirla.

Nella Gestione integrata dei rischi di criminalità finanziaria, questa dimensione comportamentale è cruciale. I rischi di criminalità finanziaria spesso non si manifestano come violazioni giuridiche nette, ma come schemi di dubbio, scostamento, comportamento insolito, incoerenze, strutture di occultamento e segnali che acquisiscono significato solo quando valutati congiuntamente. Una cultura che scoraggia i collaboratori dall’escalare il dubbio, che confonde l’interesse del cliente con l’evitamento di domande scomode, o che esenta implicitamente le relazioni commerciali ad alto valore economico da un esame critico, crea una vulnerabilità che nessun sistema può compensare integralmente. La Gestione integrata dei rischi di criminalità finanziaria richiede quindi che i collaboratori di prima linea non si limitino a eseguire procedure, ma comprendano perché la gestione della criminalità finanziaria faccia parte della funzione sociale dell’istituzione. Richiede che compliance e risk non siano percepite come funzioni restrittive ai margini del processo decisionale, ma come funzioni che contribuiscono alla qualità e alla legittimità delle decisioni. Richiede inoltre che i dirigenti dimostrino in modo costante che l’escalation tempestiva, la documentazione rigorosa e il confronto critico sono professionalmente desiderabili, anche quando generano frizioni commerciali o operative.

Gli incentivi meritano a questo riguardo un’attenzione particolare, poiché le carenze di integrità raramente derivano soltanto da un’erosione normativa individuale. Spesso nascono da sistemi nei quali un comportamento razionale all’interno dell’organizzazione produce risultati indesiderati per l’insieme. Quando i team sono valutati principalmente sui tempi di lavorazione, sull’accettazione dei clienti, sui volumi produttivi o sulla riduzione dei costi, senza un’attenzione equivalente alla qualità della valutazione dei rischi, ai comportamenti di escalation, alla remediation e all’impatto sul cliente, emerge una tensione strutturale tra gli obiettivi formali di integrità e gli incentivi comportamentali effettivi. Un modello di governance che intenda meritare fiducia deve affrontare esplicitamente tale tensione. Ciò significa che indicatori di performance, reporting di gestione, decisioni di promozione, criteri di bonus, allocazione delle capacità e valutazione della leadership devono essere allineati all’ambizione normativa dell’organizzazione. L’integrità non può essere delegata a una policy quando la logica economica dell’organizzazione premia un comportamento diverso. Quando cultura, comportamenti e incentivi sono allineati a spiegabilità, proporzionalità e responsabilità tracciabile, emerge un’organizzazione nella quale la fiducia non dipende dall’eroismo individuale, ma è sostenuta dalla progettazione effettiva del sistema.

Dati, tecnologia e governance dei modelli come nuova frontiera dell’integrità

L’utilizzo dei dati, della tecnologia e del processo decisionale automatizzato ha approfondito in modo sostanziale la sfida dell’integrità. Le organizzazioni utilizzano sistemi sempre più sofisticati per identificare rischi, classificare clienti, monitorare transazioni, rilevare scostamenti, definire priorità e supportare il processo decisionale. Questa evoluzione può rafforzare significativamente la qualità della gestione dei rischi, in particolare quando il giudizio umano da solo risulta insufficiente a causa della scala, della velocità o della complessità. Al tempo stesso, essa crea una nuova frontiera dell’integrità. Il potere non si esercita più esclusivamente attraverso decisioni visibili di amministratori, manager o collaboratori, ma anche attraverso definizioni dei dati, parametri dei modelli, set di addestramento, punteggi di rischio, alert automatici, prioritarizzazione dei workflow e logica dei sistemi. Quando questa architettura tecnica è compresa, validata o contestata in modo insufficiente, emerge una forma di opacità istituzionale capace di minare gravemente la fiducia. Un’organizzazione che non riesce a spiegare come la tecnologia influenzi le decisioni può difficilmente sostenere di controllare realmente il proprio potere.

Per la Gestione integrata dei rischi di criminalità finanziaria, questa dimensione tecnologica è inevitabile. Il monitoraggio delle transazioni, lo screening delle sanzioni, lo screening degli adverse media, la segmentazione dei clienti, la rilevazione di reti e la prevenzione delle frodi dipendono sempre più dall’integrazione dei dati e da modelli analitici. La qualità di questi sistemi determina in parte quali clienti vengono esaminati, quali transazioni vengono ritardate, quali relazioni vengono cessate, quali segnali ricevono priorità e quali rischi restano fuori dal campo visivo. La governance dei modelli diventa così una questione di integrità, non una mera disciplina tecnica o operativa. L’istituzione deve poter dimostrare che i modelli sono adeguati alla finalità prevista, che la qualità dei dati è monitorata sistematicamente, che i risultati sono testati rispetto all’efficacia e agli effetti indesiderati, che le modifiche sono approvate dalle funzioni competenti, che l’intervento umano conserva una portata reale e che le decisioni non sono trasferite a una black box per la quale nessuno assume responsabilità di governance. Una Gestione integrata dei rischi di criminalità finanziaria priva di una solida governance dei dati e dei modelli è insufficientemente attrezzata per rispondere alle moderne esigenze di spiegabilità.

La tecnologia deve inoltre essere valutata non soltanto rispetto alla sua capacità di rilevazione, ma anche rispetto alle sue conseguenze normative. Un modello che segnala molti rischi può apparire potente a prima vista, ma può comunque risultare carente quando incide in modo sproporzionato su numerose attività legittime, appesantisce strutturalmente determinati gruppi di clienti, distingue insufficientemente tra tipologie, oppure crea un arretrato operativo nel quale i segnali realmente rilevanti vengono sommersi. Al contrario, un modello che crea poche frizioni può essere insufficientemente efficace quando non riconosce schemi sottili di abuso. La questione di governance non consiste quindi nel chiedersi se la tecnologia debba essere più o meno severa, ma se l’architettura tecnologica scelta sia dimostrabilmente appropriata, necessaria, equilibrata, controllabile e correggibile. Ciò richiede una governance multidisciplinare nella quale compliance, risk, legal, data science, operations, privacy, business e senior management portino congiuntamente la responsabilità del funzionamento e dell’impatto dei sistemi. Quando dati e modelli determinano la distribuzione effettiva dell’attenzione, del controllo e dell’accesso, la governance dell’integrità deve estendersi all’architettura tecnica stessa. La fiducia viene allora meritata non solo attraverso buone decisioni, ma attraverso la progettazione di sistemi che rendano le buone decisioni più probabili, più verificabili e più suscettibili di remediation.

Incidenti, remediation e apprendimento come prove dell’affidabilità della governance

Nella moderna governance dell’integrità, gli incidenti non costituiscono soltanto minacce per la reputazione, per i rapporti con le autorità di vigilanza o per la posizione giuridica. Essi rappresentano anche momenti di prova cruciali che rivelano se un’organizzazione disponga realmente di acutezza morale, coraggio di governance e capacità di apprendimento. Nessuna organizzazione complessa può garantire che errori, carenze o effetti indesiderati saranno integralmente evitati. La questione non è quindi soltanto se gli incidenti si verifichino, ma come l’organizzazione reagisca quando si verificano. Una reazione difensiva, centrata su un riconoscimento minimo, protezione giuridica, compensazione limitata e rapida normalizzazione comunicativa, può apparire attraente nel breve periodo, ma spesso compromette la fiducia nel lungo periodo. Gli stakeholder e le autorità di vigilanza valutano sempre più la risposta agli incidenti in base alla domanda se l’organizzazione indaghi la causa reale, assuma responsabilità, tratti seriamente le persone lese, attui la remediation con diligenza e integri visibilmente gli insegnamenti strutturali.

Nella Gestione integrata dei rischi di criminalità finanziaria, gli incidenti possono assumere forme diverse: conoscenza del cliente insufficiente, segnali di sanzioni mancati, segnalazioni tardive, classificazioni errate dei clienti, de-risking sproporzionato, monitoraggio delle transazioni carente, collegamenti dati difettosi, follow-up insufficiente sugli alert, blocchi errati o arretrati strutturali nelle revisioni. Il significato istituzionale di tali incidenti non è determinato soltanto dalla loro gravità tecnica, ma anche dalla risposta di governance. L’incidente viene trattato come un errore di esecuzione isolato o come possibile sintomo di problemi più profondi di progettazione, cultura, capacità o governance? Le cause vengono esaminate oltre la fase immediata del processo in cui il problema è diventato visibile? L’impatto sul cliente viene mappato? Le autorità di vigilanza vengono informate tempestivamente e in modo completo quando ciò è richiesto o appropriato? Le misure temporanee sono distinte dai miglioramenti strutturali? L’efficacia della remediation viene testata a posteriori? La Gestione integrata dei rischi di criminalità finanziaria dimostra il proprio valore non solo nella prevenzione, ma anche nella qualità della remediation.

La remediation deve quindi essere compresa come una componente centrale della fiducia. Un’organizzazione che riconosce i propri errori, tratta ragionevolmente le persone interessate e apprende in modo visibile può preservare, o persino rafforzare, la fiducia. Un’organizzazione che minimizza gli errori, disperde la responsabilità o ritarda la remediation consuma fiducia, anche quando la carenza iniziale era giuridicamente gestibile. Ciò significa che la governance dell’integrità deve progettare in anticipo i processi di remediation, anziché improvvisare ad hoc sotto la pressione degli incidenti. Deve essere chiaro come gli incidenti sono classificati, quando sono sottoposti a escalation, quali funzioni sono coinvolte, come avviene la comunicazione con le persone interessate, come sono valutate compensazione o correzione, come sono analizzate le cause strutturali e come le lessons learned sono tradotte in policies, sistemi, formazione, capacità e reporting al consiglio. In un modello orientato alla fiducia, la remediation non è un segno di debolezza, ma una prova di affidabilità istituzionale. L’organizzazione mostra così di non cercare soltanto di limitare gli errori, ma di possedere la capacità di correggere sé stessa quando la propria azione risulta insufficiente.

Trasparenza, riservatezza e apertura strategica

La moderna governance dell’integrità richiede un approccio raffinato alla trasparenza. L’idea semplice secondo cui maggiore apertura conduca sempre a maggiore fiducia è insufficiente. Le organizzazioni devono talvolta proteggere informazioni per ragioni di privacy, segreti commerciali, interessi investigativi, segnali sensibili in materia di sanzioni, cybersecurity, procedimenti legali o efficacia della gestione della criminalità finanziaria. Al tempo stesso, l’invocazione della riservatezza non può fungere da scudo generale contro spiegazione, critica o accountability. La fiducia nasce quando l’organizzazione può dimostrare in modo convincente che le restrizioni informative sono funzionali, proporzionate e controllabili, e che non vengono utilizzate per tenere fuori dal campo visivo scelte scomode o carenze. La domanda rilevante non è quindi se una trasparenza totale sia possibile, ma quale forma di apertura strategica sia necessaria per consentire agli stakeholder e alle autorità di vigilanza di valutare la ragionevolezza e l’affidabilità dell’azione.

Nella Gestione integrata dei rischi di criminalità finanziaria, questo equilibrio è particolarmente sensibile. Troppi dettagli sulle regole di rilevazione, sugli scenari sanzionatori, sui criteri investigativi o sulle tipologie possono aiutare soggetti malintenzionati a eludere i controlli. Troppo poche spiegazioni possono dare ai clienti, alle autorità di vigilanza e agli attori sociali l’impressione che le decisioni siano arbitrarie, meccaniche o incontrollabili. Un’istituzione credibile sviluppa quindi forme stratificate di trasparenza. A livello generale, può fornire spiegazioni sui principi basati sul rischio, sulla governance, sui controlli di qualità, sulle garanzie di proporzionalità e sulle possibilità di remediation. A livello individuale, può, entro i limiti legali e operativi, comunicare chiaramente le fasi del processo, le informazioni richieste, le tempistiche attese, i diritti e le possibilità di escalation. Nei confronti delle autorità di vigilanza, può fornire informazioni più approfondite su modelli, qualità dei dati, control testing, arretrati, incidenti e programmi di remediation. Nei confronti del consiglio e delle funzioni di controllo interne, devono essere disponibili informazioni complete e precise, inclusi segnali scomodi, ipotesi e incertezze. Apertura strategica significa dunque che l’informazione è calibrata in base al ruolo, all’interesse e al rischio, senza perdere il nucleo dell’accountability.

La trasparenza deve inoltre essere sostenuta da un linguaggio coerente. Molte organizzazioni parlano di integrità, fiducia, interesse del cliente e responsabilità sociale in termini astratti, mentre le decisioni concrete vengono spiegate con formulazioni tecniche, giuridiche o difensive. Questo divario può danneggiare la fiducia. Un’istituzione che pone fine a una relazione con un cliente, indaga su una transazione, limita un prodotto o avvia un programma di remediation deve poter comunicare in modo giuridicamente prudente, ma non istituzionalmente vuoto. Ciò richiede un linguaggio che chiarisca quali interessi siano in gioco, quali limiti si applichino, quali passi siano intrapresi e quali possibilità di correzione esistano. L’apertura strategica non richiede un’esposizione illimitata, ma un’accountability credibile. Quando un’organizzazione può spiegare chiaramente che cosa può e non può condividere, perché sia così, quali garanzie esistano e come avvenga una verifica indipendente, la riservatezza non diventa automaticamente sospetta. Essa diventa allora parte di un più ampio assetto di fiducia, nel quale la protezione dell’informazione e il dovere di rendere conto sono posti in equilibrio.

La governance dell’integrità come fonte di valore sostenibile e continuità istituzionale

Il significato ultimo dello spostamento dal rispetto delle regole alla conquista dimostrabile della fiducia risiede nel riconoscimento che la governance dell’integrità non è una voce di costo ai margini dell’organizzazione, ma una fonte di valore sostenibile e continuità istituzionale. Le organizzazioni che godono di fiducia dispongono di un maggiore spazio strategico, di rapporti più solidi con le autorità di vigilanza, di relazioni più stabili con gli stakeholder, di un migliore accesso al capitale, di una maggiore attrattività per i collaboratori e di una resilienza più elevata quando si verificano incidenti. La fiducia funziona così come un attivo istituzionale che si costruisce attraverso processi decisionali coerenti e può essere eroso da una ripetuta incongruenza tra dichiarazioni e comportamenti. La particolarità della fiducia consiste nel fatto che spesso cresce lentamente e può scomparire rapidamente. Un’organizzazione che investe per anni in policies, governance e reputazione può subire un danno considerevole quando emerge che il suo comportamento effettivo sotto pressione non corrisponde ai valori che proclama. La governance dell’integrità protegge quindi non solo da sanzioni, pretese risarcitorie o misure di vigilanza, ma dalla perdita di legittimità.

Per la Gestione integrata dei rischi di criminalità finanziaria, ciò significa che la gestione della criminalità finanziaria deve essere posizionata strategicamente. Il programma non dovrebbe essere considerato una risposta obbligata alla pressione delle autorità di vigilanza, ma una componente essenziale della funzione sociale delle istituzioni finanziarie. Il settore finanziario può funzionare in modo sostenibile solo quando il pubblico può confidare che le istituzioni non vengano utilizzate abusivamente come infrastruttura per il riciclaggio di denaro, la frode, la corruzione, l’elusione delle sanzioni o altre forme di abuso finanziario ed economico. Al tempo stesso, l’accesso ai servizi finanziari rimane una condizione essenziale per la partecipazione economica di cittadini e imprese. La Gestione integrata dei rischi di criminalità finanziaria si colloca precisamente in questa intersezione: protezione del sistema da un lato, accesso responsabile dall’altro. Un’istituzione che governa questo equilibrio in modo convincente crea non solo valore di compliance, ma valore istituzionale. Essa mostra che gestione dei rischi, interesse del cliente, responsabilità sociale e affidabilità della governance non sono ambiti separati, ma si rafforzano reciprocamente quando sono progettati in modo integrato.

Il valore sostenibile emerge quando la governance dell’integrità è strutturalmente collegata a strategia, governance, tecnologia, cultura e allocazione del capitale. Ciò richiede investimenti il cui rendimento non è sempre immediatamente visibile: migliore qualità dei dati, governance dei modelli più robusta, canali di escalation chiari, collaboratori altamente qualificati, solida capacità di remediation, comunicazione coerente con i clienti, assurance indipendente, analisi di scenario e formazione in materia di governance. Tali investimenti non solo riducono la probabilità di carenze, ma aumentano la capacità dell’organizzazione di assorbire cambiamenti nei rischi, nelle norme e nelle aspettative. Un’organizzazione che finanzia in modo troppo ristretto la propria funzione di integrità o la attiva solo sotto pressione delle autorità di vigilanza crea fragilità. Un’organizzazione che tratta la governance dell’integrità come condizione centrale di continuità istituzionale crea resilienza. In questo senso, la fiducia non è un valore morbido accanto alla performance finanziaria, ma una condizione che consente alla performance finanziaria di restare sostenibile, difendibile e socialmente accettabile.

Verso un modello di governance nel quale la fiducia viene meritata in modo dimostrabile

Il futuro della governance dell’integrità risiede in un modello di governance in cui la fiducia non è presunta, rivendicata o mantenuta soltanto attraverso la comunicazione, ma meritata in modo dimostrabile attraverso la progettazione e il funzionamento stessi dell’organizzazione. Questo modello inizia dal riconoscimento dei limiti della conformità formale. Le regole restano necessarie, ma non sono sufficienti a provare che un’organizzazione agisca in modo affidabile in un ambiente complesso, nel quale i rischi evolvono rapidamente, il potere è distribuito in modo diseguale e le aspettative sociali cambiano continuamente. La questione centrale diventa quindi se l’organizzazione disponga di un’architettura di governance che le consenta di rendere spiegabili le decisioni, mantenere proporzionate le misure, organizzare la responsabilità in modo tracciabile, impiegare la tecnologia in modo controllabile, trattare gli incidenti con orientamento alla remediation e prendere seriamente in considerazione i segnali esterni. La governance dell’integrità diventa così una disciplina permanente di autolimitazione istituzionale: l’organizzazione organizza contrappesi, trasparenza, correzione e riflessione per evitare che il potere venga esercitato senza una limitazione sufficiente.

La Gestione integrata dei rischi di criminalità finanziaria costituisce, all’interno di questo più ampio modello di governance, un banco di prova particolarmente visibile. Essa tocca obblighi legali, aspettative delle autorità di vigilanza, sicurezza sociale, accesso dei clienti, privacy, utilizzo dei dati, capacità operativa, cooperazione internazionale e reputazione. La qualità della Gestione integrata dei rischi di criminalità finanziaria mostra se un’istituzione sia capace di gestire rischi complessi senza ridurre la propria missione sociale a un evitamento difensivo dei rischi. Essa richiede un approccio integrato nel quale conoscenza del cliente, monitoraggio delle transazioni, screening delle sanzioni, prevenzione delle frodi, gestione dei rischi di corruzione, governance dei dati, validazione dei modelli, gestione degli incidenti, remediation e reporting al consiglio siano collocati sotto un’unica logica normativa coerente. Tale logica deve chiarire che la gestione della criminalità finanziaria non è finalizzata soltanto a prevenire la non conformità al GDPR, alla normativa antiriciclaggio, ai regimi sanzionatori o ai requisiti delle autorità di vigilanza, ma anche a proteggere l’affidabilità dell’istituzione come attore sociale. L’istituzione deve poter dimostrare di comprendere, prioritizzare, limitare e correggere i rischi di criminalità finanziaria in modo tale da rendere giustizia agli interessi del sistema, dei clienti, delle autorità di vigilanza e della società.

Quando ciò riesce, la governance dell’integrità si trasforma da funzione di controllo difensiva in fonte di legittimità. L’organizzazione può allora non soltanto affermare di rispettare le regole, ma mostrare di comprendere la propria posizione, limitare il proprio potere, rendere conto delle proprie decisioni e porre rimedio ai propri errori. Quando ciò fallisce, può rimanere un’architettura impressionante sulla carta, ma scompare la fiducia necessaria a sostenere l’autorità istituzionale. La misura della futura governance dell’integrità non risiederà quindi esclusivamente nella quantità di policies, nel numero di controlli o nel grado di sofisticazione dei reporting, ma nella domanda se gli stakeholder, le autorità di vigilanza e la società possano ragionevolmente constatare che l’organizzazione si sottopone a standard più elevati del minimo giuridico. In questa evoluzione si trova lo spostamento fondamentale: l’integrità non consiste più nel dimostrare che l’organizzazione non è uscita dal quadro delle regole, ma nel provare continuamente che è degna di fiducia quando le regole lasciano margine, gli interessi entrano in conflitto, i sistemi falliscono e la pressione aumenta.