A inizio luglio il FATF ha pubblicato un interessante rapporto(1) sul contributo dell’innovazione tecnologica, principalmente informatica, in ambito antiriciclaggio, con l’obiettivo di identificare le sfide relative allo sviluppo, all’adozione e all’applicazione di queste soluzioni o pratiche innovative.
Il rapporto si basa su ricerche generali e sulle risposte a un questionario online sulla trasformazione digitale che il Segretariato del FATF ha condiviso con le autorità governative e gli esperti del settore pubblico e privato.
Sebbene siano diversi i temi trattati, intendo concentrare la mia attenzione in questo articolo solo su alcuni aspetti tecnologici, non allargando, per esempio, la mia analisi al ruolo delle Autorità di vigilanza nel seguire e guidare i processi di innovazione. Avendo in un precedente articolo trattato il potenziale delle identità digitali per l’adeguata verifica della clientela(2), riprenderò solo superficialmente le ulteriori considerazioni del FATF a riguardo.
I COSTI DELL’INNOVAZIONE
Ritengo le considerazioni sulle complessità e i costi coinvolti nella sostituzione o nell’aggiornamento dei sistemi legacy estremamente lucide e coerenti con quanto riscontrato nel perimetro italiano, e riporto integralmente un passaggio centrale: “per l’industria, l’analisi costi-benefici per l’adozione di nuove tecnologie continua a rappresentare un ostacolo a una maggiore diffusione di soluzioni innovative per AML/CFT, basata in parte su una mancanza reale o percepita di incentivi normativi a perseguire l’innovazione”(3). Nell’ultima frase si condensano molti temi regolamentari e di mercato per i quali è necessario immaginare formule incentivanti, e non solo sanzioni per chi non rispetta le norme, capaci di promuovere nel pubblico la richiesta di intermediari impegnati efficacemente nel contrasto alla criminalità organizzata.
Altri aspetti che frenano l’innovazione sono le difficoltà nello spiegare e nell’interpretare le soluzioni digitali, derivata in parte dalla disponibilità limitata di competenze pertinenti e dalla mancanza di consapevolezza del potenziale delle tecnologie innovative tra i professionisti AML/CFT, nell’ambito bancario e tra le Autorità di Vigilanza.
Non è un caso che i principali innovatori siano le banche multinazionali, verosimilmente banche di tipo “significativo” a livello di impatto macroeconomico e vigilanza, tra le poche in grado di disporre delle risorse capaci di garantire loro competenze interne tecniche elevate e investimenti in ricerca. Mentre l’importanza delle fintech nel trainare l’innovazione tecnologica non sorprende, dato che non hanno pesanti legacy e possono costruire da zero infrastrutture informatiche più aggiornate.
I DATI E COME USARLI
È raro trovare nei documenti del FATF riferimenti così precisi alle pratiche effettivamente in uso presso gli intermediari bancari; per questo ho inteso citare integralmente un passaggio molto chiaro sui limiti dell’analisi dati come viene effettuata oggi: “[…] i tradizionali strumenti di valutazione del rischio, basati su fogli di calcolo (come Excel) o piattaforme di reportistica statica, non consentono di analizzare i dati su larga scala, limitando la possibilità che correlazioni e analisi generino un quadro più dettagliato dei rischi [grassetto dell’autore]”.
Nulla di nuovo per chi opera nel settore, che conosce bene le attività della Funzione Antiriciclaggio e dell’Audit volte a verifiche massive oltre agli sforzi di integrazione informativa in sede di adeguata verifica rafforzata. Ma il FATF sta dicendo un’altra cosa che ho inteso evidenziare: servono strumenti in grado di intercettare e mostrare correlazioni, ben più efficaci delle singole operazioni presumibilmente anomale, come peraltro ho già avuto modo di sostenere su questa piattaforma (I dubbi sulla ricerca di anomalie nel contrasto al riciclaggio)(4).
Il paragrafo così continua: “inoltre, la qualità dei dati ottenuti dai sistemi legacy varia e potrebbe non offrire l’accuratezza e i dettagli richiesti per conformarsi agli standard AML/CFT”(5).
Come vediamo dal grafico integralmente riportato, la “data quality” è la terza sfida più complessa da affrontare per l’implementazione di nuove tecnologie antiriciclaggio. Il FATF riporta l’armonizzazione dei dati come un ulteriore ostacolo, perché i costi di investimento in nuove tecnologie e competenze aumentano in modo esponenziale se è necessario procedere alla messa a punto dei software di analisi adeguandoli ai diversi requisiti e formati giurisdizionali. Eppure, è una sfida che potrebbe portare importanti miglioramenti. L’armonizzazione dei dati tramite formati standard offrirebbe grandi vantaggi nella creazione di un ambiente abilitante per l’implementazione di nuove tecnologie in quanto consentirebbe agli attori di convergere verso obiettivi comuni, per esempio, un monitoraggio condiviso delle transazioni, in cui le FIU nazionali forniscono feedback al settore privato e proprie valutazioni del rischio.
Le tecnologie di analisi dei dati trainano l’innovazione regtech(6): è un tema molto interessante anche dal punto di vista infrastrutturale. Non tutti i database sono in grado di supportare efficacemente i processi che precedono e preparano l’analisi dati; il cloud sta invece offrendo un insieme di soluzioni capaci di gestire moli di dati impressionanti per permetterne l’analisi massiva, come riconosciuto dallo stesso Report del FATF nella sintesi delle attività della banche sistemiche brasiliane che “[…] dispongono di team specializzati, data scientist e ambiente tecnologico in grado di supportare grandi volumi di dati (es.: SAS, Teradata, R-Studio, Foundry, Hadoop, Python, ecc.)”(7).
Alcuni dei nomi citati (Teradata, Foundry) sono piattaforme cloud; per chi non conoscesse Apache Hadoop, si tratta invece di un framework sotto licenza libera che supporta applicazioni distribuite con elevato accesso ai dati, permettendo alle stesse di lavorare con migliaia di nodi e petabyte di dati.
Oltre ai dati, infine, ci sono gli esseri umani, il cui ruolo non può venir sostituito da alcun algoritmo ma, anzi, deve essere rafforzato da strumenti in grado di ridurre l’onere cognitivo; mi trovo pertanto a sposare integralmente questa considerazione del FATF: “la combinazione dell’efficienza e dell’accuratezza delle soluzioni digitali con le conoscenze e le capacità analitiche di esperti umani produce sistemi più robusti che possono rispondere efficacemente ai requisiti AML/CFT pur essendo completamente verificabili e responsabili”(8).
CASI STUDIO INTERESSANTI
Molto importante, infine, l’attività di condivisione di casi d’uso efficaci come IndiaStack, per chi è interessato a nuove modalità per effettuare l’adeguata verifica della clientela in modo fortemente digitale.
IndiaStack è un set di API che consente a governi, aziende, start-up e sviluppatori di utilizzare un’infrastruttura digitale unica costituita da quattro distinti livelli tecnologici: un’identità digitale biometrica universale, un’unica interfaccia per tutti i conti bancari del paese, un modo sicuro per condividere i dati e la capacità dei documenti di identità digitali di muoversi liberamente. All’interno di IndiaStack convergono Aadhaar, eKYC, eSign, DigiLocker e UPI, strumenti che facilitano la crescita ordinata dell’open banking nel paese.
I casi studio non servono solo per mostrare l’efficacia di alcune soluzioni: sono utili anche per mostrare le difficoltà e spiegare in che modo sono state superate. Per questo, riporto rapidamente l’ultimo caso raccontato negli allegati, in cui si raccontano le difficoltà di una regtech nel superare la scarsa qualità dei dati dell’istituzione finanziaria per cui ha offerto i propri servizi.
La qualità dei dati, già trattata sopra, rimane il tema centrale che va affrontato prima di iniziare qualsiasi discorso di analisi: “anche la normalizzazione delle stringhe è una parte importante di questo processo. La rimozione di caratteri speciali, spazi vuoti aggiuntivi e termini aziendali comuni (LLC, OOO, Limited) sono solo alcuni dei passaggi intrapresi per consentire un migliore raggruppamento, classificazione e identificazione”(9).
Dietro ogni efficace sistema di monitoraggio transazioni è necessario costruire dei processi di data ingestion e data cleaning, personalizzati a partire dai database in uso presso l’intermediario; è molto difficile, pertanto, disporre di software plug-and-play, pronti all’uso, facilmente sperimentabili in demo di 30 giorni. I responsabili innovazione, oltre ai responsabili AML, devono essere consapevoli che il miglioramento delle proprie soluzioni va inquadrato in progetti di rinnovamento IT di medio termine e devono essere preparati ad affrontare e gestire la relativa complessità organizzativa.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) FATF – Opportunities and Challenges of New Technologies for AML/CFT | July 2021
(2) A. Danielli (2021), “Adeguata verifica nel mondo delle identità digitali“; www.riskcompliance.it
(3) For industry, the cost-benefit analysis to adopt new technologies continues to be an obstacle to greater uptake of innovative solutions for AML/CFT, based in part on a real or perceived lack of regulatory incentives to pursue innovation. (p. 4).
(4) A. Danielli (2021), “I dubbi sulla ricerca di anomalie nel contrasto al riciclaggio“; www.riskcompliance.it
(5) Paragrafo 37: “Moreover, traditional risk assessment tools, based on spreadsheets (such as Excel) or static reporting platforms, do not allow data to be analysed at a large scale, limiting the potential for correlations and analysis to generate a more fine-grained picture of the risks. In addition, the quality of the data obtained by legacy systems varies and may not offer the accuracy and detail required to comply with AML/CFT standards.”
(6) “La gestione dei dati, compresa la capacità di raccogliere, analizzare e utilizzare le informazioni in modo utile ma efficiente in termini di costi, è stato un elemento trasversale delle risposte [positive sull’efficacia delle nuove soluzioni]”, pag. 21.
(7) “To this end, they have specialized teams, data scientists and technological environment capable of supporting large volumes of data (ex.: SAS, Teradata, R-Studio, Foundry, Hadoop, Python, etc.).” (Box 11, pag. 30).
(8) “Combining the efficiency and accuracy of digital solutions with the knowledge and analytical skills of human experts produces more robust systems that can effectively respond to AML/CFT requirements whilst being fully auditable and accountable”; pag 7
(9) String normalization is also an important part of this process. Removal of special characters, extra white space, and common corporate terms (LLC, OOO, Limited) are just a few of the steps taken to allow for better grouping, classification, and identification”, pag 69.