La frode come reato presupposto: perché i KPI anti-frode appartengono anche al Compliance Board
La comunicazione di vigilanza FINMA 02/2026 colloca la frode digitale nell'ambito del rischio operativo. Tuttavia, l'art. 146 StGB configura un reato presupposto del riciclaggio ai sensi dell'art. 305bis StGB: chi riporta i KPI anti-frode soltanto all'unità Operations lascia inutilizzata una linea di reporting che l'art. 6 GwG presuppone.
Dr. iur. Servatius von Tatzenberg
Ieri questa testata ha sostenuto che la comunicazione di vigilanza FINMA 02/2026 del 9 aprile 2026 radica la frode digitale sul piano dottrinale nel rischio operativo — Art. 12 BankV, non Art. 9 GwG. Questa lettura regge. Ma è soltanto metà della storia. L’altra metà riguarda la linea di reporting verso il Compliance Board: la comunicazione di vigilanza non apre quella linea — la presuppone.
Il nesso con il reato presupposto: cosa ne consegue e cosa no
Art. 146 StGB — frode — è un crimine ai sensi di Art. 305bis StGB. Chi compie atti diretti a vanificare il recupero di valori patrimoniali provenienti da una frode consumata si rende colpevole di riciclaggio. Questo è il nesso dogmatico. Ma regge soltanto a una condizione che nel dibattito operativo viene troppo spesso ignorata: devono essere presenti proventi di un reato presupposto consumato, transitati o in procinto di transitare attraverso l’istituto.
Non ogni fraud event nel sistema di monitoraggio genera un indicatore di reato presupposto. Un tentativo di phishing bloccato non produce valori patrimoniali suscettibili di riciclaggio. Un ordine di pagamento stornato non lascia fondi che, ai sensi dell’art. 305bis StGB, provengano da un reato. La soglia AML non è superata per il solo fatto che un attacco sia stato tentato, rilevato o bloccato tempestivamente.
L’indicazione di reato presupposto sorge là dove una frode è stata integralmente perpetrata e i fondi così generati sono transitati o devono transitare attraverso il conto dell’istituto. Tre categorie operative meritano la massima attenzione. Prima: frodi su conto con addebiti già eseguiti, in cui i fondi prelevati sono stati ulteriormente trasferiti e non è stato possibile stornarli. Seconda: bonifici CEO fraud o BEC fraud integralmente eseguiti, in cui la banca ha dato corso a disposizioni di pagamento sulla base di un inganno e i fondi hanno lasciato il conto. Terza: bonifici in entrata da conti presso istituti terzi per i quali l’intermediario finanziario dispone di un indizio fondato di frode presso il mittente — ad esempio attraverso una segnalazione della banca corrispondente o per comunicazione del cliente.
In queste costellazioni sono presenti valori patrimoniali che possono provenire da una frode consumata ai sensi dell’art. 146 StGB. L’obbligo di accertamento specifico ai sensi di Art. 6 Abs. 2 GwG è in linea di principio applicabile: l’intermediario finanziario deve verificare se sussista un sospetto fondato che i valori patrimoniali coinvolti provengano da un crimine. Gli esiti di tale verifica determinano se debba essere presentata una comunicazione alla MROS ai sensi di Art. 9 GwG.
La quota di eventi generatori di proventi sul volume complessivo delle rilevazioni dipende dal profilo dell’istituto. Per le banche con traffico pagamenti attivo ed e-banking, essa non è trascurabile. La sfida non è la portata del fenomeno, ma la classificazione: quali eventi rientrano in questa categoria e quale unità è competente per tale qualificazione?
La lacuna organizzativa ai sensi dell’art. 8 GwG
Art. 8 GwG impone all’intermediario finanziario di adottare le misure organizzative necessarie all’adempimento dei propri obblighi GwG. Per gli istituti che gestiscono un sistema di monitoraggio delle frodi, questa norma ha un contenuto concreto: se il fraud monitor rileva eventi da cui può sorgere un obbligo di accertamento specifico ai sensi dell’Art. 6 Abs. 2 GwG, deve esistere un percorso di escalation definito dall’unità di rilevazione delle frodi all’unità GwG. In assenza di tale percorso, manca la misura organizzativa richiesta dall’Art. 8 GwG.
La funzione di rischio operativo che gestisce il fraud monitor non è strutturata per effettuare questa qualificazione. Essa gestisce tassi di rilevazione, tassi di falsi positivi e volumi di danno — questo è il suo mandato. La questione se un importo addebitato ed eseguito provenga da una frode consumata e se pertanto debba essere avviato un accertamento specifico ai sensi dell’Art. 6 Abs. 2 GwG compete all’unità GwG. Senza un trasferimento strutturato dei dati, l’unità GwG non vede l’evento rilevante.
Questa è la lacuna organizzativa che l’Art. 8 GwG intende colmare: due unità che potrebbero trattare lo stesso evento da prospettive diverse, senza un collegamento sistematico. Una banca che rileva sul piano operativo schemi di frode generatori di proventi, senza rifletterli nel monitoraggio AML, non è in grado di adempiere concretamente al proprio obbligo di accertamento ai sensi dell’Art. 6 Abs. 2 GwG per tali eventi. L’unità GwG può verificare soltanto ciò che vede.
La ripartizione del reporting
In vista della prossima riunione dell’Audit Committee, questo implica un adeguamento dell’architettura di reporting. Non due statistiche parallele — un’analisi categorizzata dello stesso insieme di dati.
La prima linea di reporting è indirizzata a Operations: tasso di rilevazione, tasso di falsi positivi, volume del danno. Questa è la logica gestionale del fraud monitor e rimane invariata.
La seconda linea di reporting è indirizzata all’unità GwG e al Compliance Board: gli stessi eventi di rilevazione, categorizzati in base alla loro rilevanza AML. Tre classi dovrebbero essere riportate: eventi escalati a comunicazione ai sensi dell’Art. 9 GwG; eventi per i quali è stato avviato un accertamento specifico ai sensi dell’Art. 6 Abs. 2 GwG senza che sia stata presentata una comunicazione; eventi chiusi senza conseguenze AML perché non era presente una frode consumata generatrice di proventi. Questa categorizzazione costituisce la prova documentata che il monitoraggio delle frodi è integrato in modo conforme al GwG.
Il lavoro aggiuntivo è limitato se la categorizzazione è configurata nel sistema di monitoraggio. Per gli istituti che non hanno ancora integrato la ripartizione del reporting, la prossima revisione del sistema è il momento opportuno.
Il criterio di verifica e la questione aperta
La comunicazione di vigilanza FINMA 02/2026 ha inquadrato la prevenzione delle frodi nella gestione del rischio operativo ai sensi dell’Art. 12 BankV. Ciò non cambia il fatto che le implicazioni GwG iniziano là dove una frode riesce — non là dove viene rilevata. In un’ispezione in loco della FINMA che valuta la conformità all’Art. 8 GwG, la questione del trasferimento di dati dal monitoraggio delle frodi all’unità GwG non è una specialità tecnica. È il logico passo successivo alla verifica del monitoraggio delle transazioni in sé.
La questione aperta è se la FINMA affronterà esplicitamente il nesso tra gestione del rischio operativo e conformità GwG in una futura guidance — oppure se, come nella comunicazione di vigilanza 02/2026, lascerà la questione all’attuazione interna degli istituti. Senza la seconda linea di reporting, il Compliance Board non può oggi dimostrare che tale attuazione ha avuto luogo.