1° Documento Riservato: L’Approfondimento: L’adeguata verifica della clientela: metodo, rischio e responsabilità

CIRCOLARE MONOGRAFICA

DI ARMANDO URBANO | 7 NOVEMBRE 2025

Dalla normativa all’operatività: strumenti e prassi per la compliance professionale nella Regola tecnica n. 2 del CNDCEC

La Regola Tecnica n. 2 del Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili, approvata con Deliberazione n. 9 del 16 gennaio 2025, rappresenta oggi il riferimento fondamentale per l’attuazione, da parte dei professionisti, degli obblighi di adeguata verifica della clientela previsti dal D.Lgs. n. 231/2007.
Il presente Approfondimento, offre un commento sistematico e operativo alla disciplina, articolando il percorso di analisi in due direttrici complementari: il quadro normativo e metodologico dell’approccio basato sul rischio e l’applicazione pratica delle misure di verifica all’interno dell’attività professionale.
Per rimanere aggiornato e approfondire la materia iscriviti al nostro Master Fisco e Master Fisco Plus con la giornata dedicata “Antiriciclaggio: le novità 2025 per gli Studi Professionali“, il 13 novembre con Annalisa De Vivo e Armando Urbano.

Premessa

L’adeguata verifica della clientela costituisce uno degli assi portanti del sistema di prevenzione del riciclaggio e del finanziamento del terrorismo delineato dal D.Lgs. 21 novembre 2007, n. 231, come modificato nel tempo dai successivi interventi di recepimento delle Direttive europee antiriciclaggio e, da ultimo, dalle regole tecniche emanate dal Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili (CNDCEC). La Regola Tecnica n. 2, emanata dal CNDCEC con Deliberazione n. 9 del 16 gennaio 2025, previo Parere del Comitato di Sicurezza Finanziaria ricevuto in data 27 dicembre 2024, dedicata specificamente alla disciplina dell’adeguata verifica, si inserisce in tale contesto come atto di normazione secondaria di natura tecnica, vincolante per gli iscritti agli Ordini territoriali, volta a declinare in termini operativi le disposizioni di carattere generale contenute negli artt. 1730 del Decreto “antiriciclaggio”.

Inquadramento sistematico dell’adeguata verifica della clientela

La ratio dell’adeguata verifica è quella di consentire al professionista di conoscere, in modo proporzionato al rischio, l’identità e il profilo economico del clientel’origine e la destinazione dei fondi utilizzati, nonché la natura e lo scopo della prestazione professionale. Tale attività non si riduce a un mero adempimento documentale, ma rappresenta un presidio sostanziale di legalità e trasparenza nella relazione professionale, in quanto consente di individuare tempestivamente operazioni anomale, schemi fraudolenti o utilizzi distorti dei servizi professionali per finalità di riciclaggio o di finanziamento del terrorismo.

L’adeguata verifica si fonda sul principio dell’“approccio basato sul rischio”, introdotto a livello unionale dalla Dir. UE n. 2015/849 e recepita nell’ordinamento nazionale dall’art. 20 del D.Lgs. n. 231/2007. Secondo tale principio, l’intensità e l’estensione dei controlli da parte del soggetto obbligato devono essere proporzionate al livello di rischio di riciclaggio e di finanziamento del terrorismo associato a ciascun cliente, a ciascuna prestazione e a ciascuna operazione. Ne discende che il professionista non è tenuto ad applicare in maniera uniforme e indifferenziata le medesime misure a tutti i clienti, ma deve svolgere un’attenta analisi preliminare, al fine di calibrare il grado di approfondimento e di monitoraggio in base al rischio effettivamente rilevato.

La struttura della Regola Tecnica n. 2 riflette l’esigenza di fornire ai professionisti uno strumento operativo che, pur mantenendo la flessibilità richiesta dall’approccio basato sul rischio, assicuri uniformità interpretativa e coerenza applicativa su tutto il territorio nazionale. In tal senso, la Regola si pone come fonte di disciplina integrativa delle norme legislative e regolamentari, vincolante per i dottori commercialisti e gli esperti contabili e avente valore di parametro di conformità in sede di ispezioni e controlli da parte delle autorità competenti.

Dal punto di vista operativo, l’adeguata verifica della clientela comporta una sequenza di adempimenti che si articolano in:

  • identificazione e verifica dell’identità del cliente, dell’esecutore e del titolare effettivo;
  • acquisizione di informazioni sullo scopo e sulla natura della prestazione professionale;
  • controllo costante nel tempo del rapporto con il cliente;
  • conservazione dei dati e dei documenti raccolti;
  • eventuale segnalazione di operazioni sospette;
  • eventuale comunicazione delle infrazioni in materia di limitazione all’uso del contante e dei titoli al portatore.

La corretta esecuzione di tali obblighi richiede una struttura organizzativa interna idonea, un aggiornamento continuo delle procedure e una costante formazione del personale e dei collaboratori di studio.

Particolare rilievo assume la distinzione tra prestazioni professionali continuative e prestazioni occasionali. Le prime si caratterizzano per la durata nel tempo e per la reiterazione di attività analoghe nei confronti del medesimo cliente, come nel caso della consulenza contabile e fiscale, della tenuta della contabilità o della revisione legale. Le seconde, invece, riguardano singoli incarichi o operazioni specifiche, quali la predisposizione di una perizia, la consulenza in materia contrattuale o la partecipazione a un’operazione straordinaria. Tale distinzione incide sulla periodicità del controllo costante e sulla necessità di aggiornamentodelle informazioni acquisite in fase di identificazione.

L’identificazione e la verifica dell’identità

L’identificazione del cliente rappresenta il momento iniziale e imprescindibile dell’adeguata verifica. Essa consiste nella raccolta dei dati identificativi del cliente e, ove presente, dell’esecutore, mediante un documento di riconoscimento valido o altra fonte attendibile. La verifica dell’identità implica la corrispondenza tra i dati raccolti e il soggetto effettivamente presente.

La Regola Tecnica n. 2 chiarisce che l’identificazione può essere effettuata anche a distanza, in presenza di determinate condizioni di garanzia. In particolare, l’identificazione a distanza si considera valida quando i dati identificativi risultano:

  • da atti pubblici o scritture private autenticate;
  • da certificati qualificati utilizzati per la firma digitale;
  • da identità digitale con livello di garanzia almeno significativo (SPID, CIE o sistemi equivalenti europei conformi al Reg. UE n. 910/2014);
  • da dichiarazioni di rappresentanza consolare italiana;
  • o, infine, da una precedente identificazione effettuata dal professionista per un altro incarico, purché i dati siano aggiornati e coerenti con il nuovo rapporto.

La valutazione del rischio

Il principio dell’approccio basato sul rischio, di derivazione europea e cardine dell’intero sistema antiriciclaggio, impone al professionista di calibrare la propria attività di controllo e di verifica in funzione della probabilità e dell’impatto potenziale che l’attività o il cliente possono generare in termini di rischio di riciclaggio o di finanziamento del terrorismo. Tale principio, codificato nell’art. 20 del D.Lgs. n. 231/2007, si traduce, per i dottori commercialisti e gli esperti contabili, nella necessità di procedere a una valutazione strutturata e documentata del rischio, da effettuarsi con riferimento a ciascun incarico professionale.

La Regola Tecnica n. 2 del CNDCEC fornisce un modello metodologico articolato in tre fasi logiche e consequenziali: la valutazione del rischio inerente, la valutazione del rischio specifico e la determinazione del rischio effettivo. Ognuna di queste fasi presuppone l’applicazione di criteri oggettivi, la ponderazione di elementi soggettivi e la successiva traduzione dei risultati in un livello numerico graduato da 1 a 4, corrispondente rispettivamente a rischio non significativo, poco significativo, abbastanza significativo e molto significativo.

Valutazione del rischio inerente

La prima fase, la valutazione del rischio inerente, riguarda il rischio “tipico” o “proprio” delle diverse prestazioni professionali, indipendentemente dalle caratteristiche del cliente o delle circostanze specifiche del caso concreto. È un rischio astratto, preesistente alla prestazione, che deriva dalla natura stessa dell’attività professionale. Per consentire una classificazione uniforme, il CNDCEC ha elaborato una tabella (Tabella 1) che identifica le prestazioni a rischio inerente non significativo, ossia quelle in cui il rischio di riciclaggio o di finanziamento del terrorismo risulta marginale in ragione della struttura dell’incarico, dell’assenza di movimentazioni finanziarie e della presenza di presidi normativi di controllo già operanti.

Tra le attività a rischio inerente non significativo rientrano, ad esempio, gli incarichi di componente di collegio sindacale privo di funzioni di revisione legale, l’apposizione del visto di conformità su dichiarazioni fiscali, la predisposizione di interpelli e pareri pro veritate, le funzioni di consulente tecnico di parte, le prestazioni di assistenza giudiziale, di mediazione e arbitrato, nonché gli incarichi conferiti dall’autorità giudiziaria quali curatore, commissario, liquidatore o perito. Si tratta di attività che, pur rientrando nell’ambito delle funzioni tipiche del professionista, non comportano di norma l’assunzione di decisioni o la gestione diretta di risorse economiche del cliente.

Al medesimo livello di rischio non significativo appartengono anche le attività di docenza, le collaborazioni editoriali e gli incarichi di componente di organismi di vigilanza ex D.Lgs. n. 231/2001, nonché le mere funzioni operative di deposito telematico o di adempimento burocratico presso uffici pubblici o Camere di Commercio. In tali ipotesi, il professionista non entra in contatto con flussi finanziari o patrimoniali del cliente e non svolge un ruolo di intermediazione o consulenza avente impatto economico, elementi che rappresentano i principali fattori di vulnerabilità ai fini antiriciclaggio.

Il grado di rischio inerente aumenta progressivamente in relazione alla complessità, alla natura e alla finalità delle prestazioni. La Tabella 2della Regola Tecnica individua, oltre al livello non significativo, tre ulteriori classi di rischio: poco significativo (grado 2), abbastanza significativo (grado 3) e molto significativo (grado 4).

Rientrano nel livello poco significativo le attività di amministrazione e liquidazione di società o patrimoni su nomina non giudiziale, la consulenza tributaria, la consulenza contrattuale, la custodia e conservazione di beni e la valutazione di quote, aziende o patrimoni. Si tratta di attività che, pur potendo coinvolgere aspetti patrimoniali, si svolgono entro un perimetro di controllo definito e sotto presidi normativi consolidati.

Il livello abbastanza significativo comprende invece attività ad elevato contenuto fiduciario o che comportano un rischio più marcato di utilizzo improprio: amministrazione di trust o istituti giuridici affini, consulenza aziendale continuativa, attività di valutazione tecnica di iniziative d’impresa, consulenza economico-finanziaria, costituzione di enti e strutture societarie, tenuta della contabilità, consulenza nella redazione del bilancio e revisione legale dei conti. Queste prestazioni espongono il professionista a un rischio più concreto di intermediazione inconsapevolein operazioni potenzialmente distorsive, anche in ragione della frequenza e della durata del rapporto professionale.

Infine, il rischio molto significativo è associato alle operazioni di finanza straordinaria, quali fusioni, scissioni, acquisizioni, cessioni di partecipazioni o di aziende, ristrutturazioni societarie e operazioni straordinarie in generale. In tali contesti, la circolazione di capitali, la complessità delle strutture giuridiche e la possibile interposizione di veicoli societari rendono la prestazione particolarmente esposta a finalità elusive o di riciclaggio.

L’art. 17, comma 7, D.Lgs. n. 231/2007, stabilisce, altresì, che:

Gli obblighi di adeguata verifica della clientela non si osservano in relazione allo svolgimento dell’attività di mera redazione e trasmissione, ovvero di sola trasmissione, delle dichiarazioni derivanti da obblighi fiscali e degli adempimenti in materia di amministrazione del personale di cui all’art. 2, comma 1, della Legge 11 gennaio 1979, n. 12.

Nell’esclusione rientrano tutte le attività, anche prodromiche, legate alla redazione e trasmissione delle dichiarazioni derivanti da obblighi fiscali, nonché gli ulteriori adempimenti tributari connessi, come ad esempio la trasmissione dei modelli F24.

Valutazione del rischio specifico

Completata la classificazione del rischio inerente, il professionista deve procedere alla valutazione del rischio specifico, che rappresenta la componente dinamica e individualizzata del processo. Tale valutazione prende in considerazione sia gli aspetti connessi al cliente (Tabella A) sia quelli connessi alla prestazione professionale (Tabella B), attribuendo a ciascun fattore un punteggio compreso tra 1 e 4 ove:

  • 1 = rischio non significativo
  • 2 = rischio poco significativo
  • 3 = rischio abbastanza significativo
  • 4 = rischio molto significativo

Gli aspetti connessi al cliente includono, in particolare:

  • la natura giuridica, distinguendo tra persone fisiche, società di capitali, enti non commerciali, trust o soggetti assimilati;
  • la prevalente attività svolta, con particolare attenzione ai settori considerati a maggiore esposizione (ad esempio edilizia, commercio di preziosi, gestione di contante, attività transfrontaliere);
  • il comportamento del cliente al momento del conferimento dell’incarico, valutato in termini di trasparenza, collaborazione e disponibilità a fornire informazioni;
  • l’area geografica di residenza o di sede del cliente e della controparte, con riferimento alle liste di Paesi ad alto rischio individuate dalla Commissione europea o da organismi internazionali (FATF-GAFI).

Gli aspetti connessi alla prestazione professionale comprendono invece:

  • la tipologia e la modalità di svolgimento della prestazione;
  • l’ammontare dell’operazione e la frequenza o durata del rapporto professionale;
  • la ragionevolezza dell’operazione in relazione al profilo del cliente;
  • l’area geografica di destinazione dei fondi o dell’attività.

La somma dei valori delle tabelle (A + B) viene divisa per dieci (numero complessivo degli aspetti da valutare).

Con riferimento ad alcune prestazioni professionali quali revisione legale dei conti, tenuta della contabilità, assistenza e consulenza continuativa generica in ambito contabile e fiscale, la Tabella B non deve essere compilata, attesa la tipologia dei dati richiesti nella stessa. Ne consegue che in relazione a dette prestazioni il rischio specifico si ottiene sommando i punteggi della tabella A e dividendo per quattro.

La media aritmetica dei punteggi consente di determinare il livello di rischio specifico complessivo previsto dalla Tabella C:

Valore medioLivello di rischio specifico
da 1 a < 1,6Non significativo
da 1,6 a < 2,6Poco significativo
da 2,6 a < 3,6Abbastanza significativo
da 3,6 a 4,0Molto significativo

Tale classificazione non ha carattere rigido, ma costituisce un parametro di riferimento uniforme, suscettibile di adeguamento in funzione dell’evoluzione normativa e delle linee guida dell’Unità di Informazione Finanziaria (UIF).

Valutazione del rischio effettivo

La fase successiva è quella della determinazione del rischio effettivo, che rappresenta la sintesi ponderata tra rischio inerente e rischio specifico. La Regola Tecnica stabilisce che la ponderazione avvenga attribuendo al rischio inerente un coefficiente del 30% e al rischio specifico un coefficiente del 70%, riflettendo la maggiore importanza del contesto concreto rispetto alla tipologia astratta della prestazione. Il calcolo matematico può essere espresso nella forma:

Rischio effettivo = (Rischio inerente × 0,30) + (Rischio specifico × 0,70)

Il valore così ottenuto viene poi confrontato con la Tabella D, che consente di attribuire la classe finale di rischio:

Valore ponderato complessivoLivello di rischio effettivo
da 1 a < 1,6Non significativo
da 1,6 a < 2,6Poco significativo
da 2,6 a < 3,6Abbastanza significativo
da 3,6 a 4,0Molto significativo

Il livello di rischio effettivo così determinato è quello che orienta la scelta delle misure di adeguata verifica da applicare, secondo la scala graduata prevista dalla Regola Tecnica:

  • Misure semplificate per i casi a rischio non significativo o poco significativo;
  • Misure ordinarie per i casi a rischio abbastanza significativo;
  • Misure rafforzate per i casi a rischio molto significativo.

La logica sottostante è quella della proporzionalità: il professionista è chiamato a intensificare le verifiche e a ridurre la frequenza del controllo in modo coerente con il grado di rischio complessivo.

Il quadro normativo-metodologico

La funzione dell’adeguata verifica, come emerge dalla struttura normativa, è duplice: preventiva e conoscitiva. Preventiva, perché consente di intercettare ex ante comportamenti o operazioni potenzialmente anomale; conoscitiva, perché impone al professionista di comprenderel’identità, la reputazione e l’attività del cliente, nonché la coerenza della prestazione con il suo profilo economico. In tale prospettiva, la conoscenza del cliente (“know your customer”) rappresenta il fulcro del sistema di prevenzione, e la diligenza del professionista si misura sulla capacità di acquisire, valutare e aggiornare le informazioni rilevanti in modo coerente con la natura e la complessità della prestazione.

Sotto il profilo metodologico, la valutazione del rischio di riciclaggio e di finanziamento del terrorismo deve essere effettuata mediante un processo documentato, anche se non necessariamente formalizzato in presenza di rischio non significativo. La documentazione della valutazione, tuttavia, assume rilievo probatorio fondamentale in caso di controlli o contestazioni da parte delle autorità di vigilanza, poiché consente di dimostrare la razionalità delle scelte e la proporzionalità delle misure adottate. Il fascicolo antiriciclaggio, in tal senso, rappresenta il presidio documentale dell’attività di verifica, nel quale devono essere conservati tutti gli elementi acquisiti e le valutazioni effettuate.

La Regola Tecnica sottolinea inoltre la centralità della formazione e della sensibilizzazione dei professionisti, richiedendo che gli studi adottino procedure interne di valutazione e aggiornamento, nonché modelli organizzativi idonei a garantire la tracciabilità delle decisioni e delle verifiche. Ciò assume rilievo anche ai fini della responsabilità disciplinare, in quanto il mancato rispetto delle regole tecniche può integrare una violazione deontologica, oltre che costituire un indice di inadeguatezza del sistema di prevenzione adottato dallo studio.

In definitiva, l’adeguata verifica della clientela, nella prospettiva delineata dal CNDCEC, non rappresenta un mero adempimento burocraticomaun processo di conoscenza e di valutazione del rischio che richiede capacità di analisi, consapevolezza normativa e rigore documentale. Essa si colloca al centro del sistema di compliance professionale, come strumento di tutela non solo dell’ordinamento, ma anche dell’integrità e della reputazione del professionista stesso.

Il fascicolo antiriciclaggio: la road map per l’attività di verifica

Il fascicolo antiriciclaggio del cliente costituisce il documento di sintesi dell’attività di verifica e deve contenere tutti gli elementi informativi raccolti, le valutazioni espresse e le decisioni assunte. Esso rappresenta la prova documentale dell’adempimento e, in caso di controlli da parte dell’autorità di vigilanza, consente di dimostrare la diligenza del professionista.

La Regola Tecnica n. 2 del CNDCEC rappresenta oggi il riferimento primario per la concreta attuazione, da parte dei dottori commercialisti e degli esperti contabili, degli obblighi di adeguata verifica della clientela previsti dal D.Lgs. n. 231/2007. Essa realizza un equilibrio tra l’esigenza di uniformità interpretativa e la necessità di preservare la discrezionalità professionale insita nell’approccio basato sul rischio. La corretta applicazione della Regola richiede non solo conoscenza normativa, ma anche capacità di traduzione operativa, consapevolezza del rischio e adeguata organizzazione dello studio.

A tal fine è fondamentale stabilire correttamente le misure di adeguata verifica, identificare correttamente il/i titolare/i effettivo/i e le persone politicamente esposte.

Il fascicolo antiriciclaggio del cliente

Il fascicolo antiriciclaggio rappresenta lo strumento operativo e probatorio della corretta esecuzione degli obblighi. Esso deve contenere, in forma ordinata e facilmente accessibile:

  • copia dei documenti identificativi del cliente, dell’esecutore e del titolare effettivo;
  • la dichiarazione sul titolare effettivo (art. 22 D.Lgs. n. 231/2007);
  • la scheda di valutazione del rischio inerente, specifico ed effettivo, con l’indicazione dei punteggi e delle motivazioni;
  • le informazioni sullo scopo e sulla natura della prestazione professionale;
  • la documentazione attestante eventuali verifiche rafforzate o semplificate;
  • la cronologia delle attività di controllo costante e degli aggiornamenti effettuati.

Il fascicolo può essere tenuto in forma cartacea, in forma digitale o in forma mista, purché siano garantite l’integrità, la riservatezza e la reperibilità dei dati. La digitalizzazione del processo di adeguata verifica rappresenta un’evoluzione coerente con le esigenze di efficienza degli studi professionali, ma richiede l’adozione di sistemi informatici sicuri e conformi alla normativa in materia di protezione dei dati personali (Reg. UE n. 2016/679 e D.Lgs. n. 196/2003).

La conservazione del fascicolo deve essere assicurata per almeno dieci anni dalla cessazione del rapporto professionale o dall’esecuzione della prestazione occasionale. La distruzione o la cancellazione anticipata dei dati costituisce violazione sanzionabile ai sensi dell’art. 55, comma 1, del D.Lgs. n. 231/2007.

Le misure di adeguata verifica: ordinaria, semplificata e rafforzata

Le misure di adeguata verifica rappresentano un sistema integrato e graduato di controlli, che il professionista deve modulare con rigore e consapevolezza. La capacità di scegliere la misura appropriata costituisce indice di conformità e di professionalità. L’applicazione della Regola Tecnica n. 2, oltre a garantire uniformità di comportamento tra gli iscritti, contribuisce a rafforzare la fiducia del sistema economico nella figura del commercialista come presidio di legalità e trasparenza.

L’adeguata verifica ordinaria

Le misure ordinarie costituiscono il livello standard di controllo, applicabile nella generalità dei casi in cui non sussistono elementi di basso o alto rischio. Esse comprendono tutte le attività previste dagli artt. 18 e 19 del D.Lgs. n. 231/2007 e sono sempre dovute per le prestazioni professionali che implicano una conoscenza approfondita della situazione economico-finanziaria del cliente.

L’identificazione del cliente deve essere effettuata prima dell’instaurazione del rapporto professionale e deve comprendere:

  • l’acquisizione dei dati anagrafici completi;
  • la verifica della validità del documento di riconoscimento;
  • la raccolta delle informazioni relative al titolare effettivo, attraverso dichiarazione scritta del cliente ai sensi dell’art. 22 del Decreto;
  • la verifica della coerenza delle informazioni fornite con la natura e lo scopo della prestazione.

Il professionista deve inoltre acquisire e conservare copia della documentazione probatoria raccolta, le fonti utilizzate e l’esito della valutazione di rischio.

La Regola Tecnica n. 2 specifica che, negli studi associati e nelle società tra professionisti, la responsabilità dell’identificazione e della verifica grava sul professionista incaricato, anche se le operazioni materiali possono essere delegate a dipendenti o collaboratori. In caso di incarichi conferiti successivamente dallo stesso cliente, l’identificazione può essere considerata valida se aggiornata e coerente con il nuovo profilo di rischio, evitando duplicazioni inutili.

Durante la fase di svolgimento del rapporto, il professionista è tenuto a esercitare un controllo costante, verificando periodicamente che le informazioni acquisite siano ancora attuali e che le operazioni del cliente siano coerenti con la conoscenza pregressa del suo profilo. Tale controllo assume particolare rilievo nei rapporti continuativi di consulenza, tenuta contabilità o revisione, in cui la relazione fiduciaria è stabile e duratura.

L’adeguata verifica semplificata

Le misure semplificate possono essere adottate nei casi di basso rischio di riciclaggio o di finanziamento del terrorismo, come previsto dall’art. 23del D.Lgs. n. 231/2007. La Regola Tecnica precisa che tali misure sono applicabili solo a seguito di una valutazione in concreto del rischio e non per presunzione automatica.

Rientrano tra i clienti o le situazioni a basso rischio:

  • le società quotate in mercati regolamentati, soggette a obblighi di trasparenza sulla titolarità effettiva;
  • le pubbliche amministrazioni e gli enti pubblici che svolgono funzioni istituzionali;
  • i clienti stabiliti o residenti in Paesi a basso rischio, come individuati dalla Commissione europea;
  • gli intermediari finanziari vigilati ai sensi del Testo Unico Bancario, del Testo Unico della Finanza o del Codice delle assicurazioni private.

In tali casi, il professionista può ridurre l’estensione delle verifiche e la frequenza del controllo costante, purché resti dimostrabile che la valutazione del rischio sia stata effettuata. Le misure semplificate consistono, in particolare:

  • nell’identificazione del cliente e del titolare effettivo mediante dichiarazione scritta ai sensi dell’art. 22 del Decreto;
  • nell’acquisizione della copia del documento di identità;
  • nel controllo costante a cadenza dilatata (ad esempio, triennale per rapporti continuativi);
  • nell’aggiornamento periodico dei dati mediante visura camerale o altra documentazione equivalente.

Tuttavia, la possibilità di applicare le misure semplificate viene esclusa qualora sorgano sospetti di riciclaggio o di finanziamento del terrorismoindipendentemente dal livello di rischio formalmente attribuito. In tali circostanze, il professionista è tenuto ad applicare immediatamente misure ordinarie o rafforzate, nonché, ove ne ricorrano i presupposti, a valutare la segnalazione di operazione sospetta.

L’adeguata verifica rafforzata

Le misure rafforzate trovano applicazione quando, all’esito della valutazione del rischio, il professionista accerti la presenza di un rischio elevato o molto significativo, in conformità con l’art. 24 del D.Lgs. n. 231/2007. Ciò si verifica, ad esempio, in presenza di clienti aventi sede in Paesi terzi ad alto rischio, di strutture societarie complesse o opache, di operazioni di finanza straordinaria, o di soggetti politicamente esposti (PPE).

Le misure rafforzate richiedono al professionista un livello più elevato di approfondimento e di verifica, mediante una o più delle seguenti azioni:

  • accertamento puntuale della identità del titolare effettivo e della catena di controllo;
  • richiesta di documentazione aggiuntiva per comprovare la provenienza lecita dei fondi;
  • utilizzo di fonti aperte e banche dati indipendenti per verificare eventuali collegamenti del cliente con liste di soggetti designati o sottoposti a sanzioni;
  • verifica dell’eventuale coinvolgimento del cliente in procedimenti penali o indagini per reati di riciclaggio o di terrorismo;
  • controllo rafforzato sulla coerenza economica dell’operazione, valutando la ragionevolezza dei flussi finanziari e la compatibilità con il profilo del cliente;
  • richiesta che i pagamenti avvengano tramite conti bancari intestati al cliente presso intermediari vigilati, escludendo l’uso di contante o strumenti non tracciabili.

Dal punto di vista operativo, la Regola Tecnica suggerisce anche l’adozione di verifiche documentali supplementari, quali:

  • acquisizione di due documenti di riconoscimento in corso di validità;
  • verifica dell’esistenza di una firma digitale qualificata;
  • richiesta di attestazioni bancarie o assicurative;
  • consultazione di database commerciali o pubblici;
  • riscontro diretto presso registri ufficiali (Registro Imprese, Registro dei Titolari effettivi, catasto dei trust).

L’intensità del controllo costante deve essere proporzionata alla gravità del rischio. Nei casi di rischio molto significativo, il professionista dovrà prevedere un monitoraggio periodico con frequenza almeno annuale o semestrale, aggiornando i dati identificativi e rivalutando il profilo di rischio del cliente.

Il titolare effettivo e le persone politicamente esposte

La Regola Tecnica n. 2 fornisce indicazioni operative su come il professionista debba adempiere all’obbligo di identificazione e di verifica dell’identità del titolare effettivo e delle persone politicamente esposte, ponendo l’accento sull’importanza dell’acquisizione di informazioni aggiornate e verificabili.

Il titolare effettivo

L’identificazione del titolare effettivo rappresenta uno degli obblighi centrali dell’adeguata verifica della clientela, poiché consente di individuare il soggetto o i soggetti che, al di là dell’intestazione formale, detengono la proprietà o il controllo dell’entità con cui il professionista instaura il rapporto professionale. L’importanza di tale obbligo è stata rafforzata sia a livello unionale sia nazionale, nella consapevolezza che le strutture societarie complesse, i veicoli fiduciari e i trust possono essere utilizzati per dissimulare l’identità dei reali beneficiari di operazioni di riciclaggio o di finanziamento del terrorismo.

Ai sensi dell’art. 1, comma 2, lett. pp) del D.Lgs. n. 231/2007, il titolare effettivo è la persona fisica o le persone fisiche alle quali, in ultima istanza, è attribuibile la proprietà diretta o indiretta di un’entità giuridica, ovvero il controllo della stessa. Il Decreto distingue le ipotesi a seconda della natura del soggetto cliente:

  • nel caso di società di capitali, è titolare effettivo la persona fisica che detiene, direttamente o indirettamente, una partecipazione superiore al 25% del capitale sociale o dei diritti di voto. In assenza di tale soglia, è considerato titolare effettivo chi esercita, in altro modo, il controllosulla società, anche mediante accordi, influenza dominante o vincoli contrattuali;
  • nel caso di persone giuridiche private (associazioni, fondazioni, comitati), il titolare effettivo coincide con i soggetti che rivestono funzioni di rappresentanza legale, amministrazione o direzione;
  • per i trust e gli istituti giuridici affini, sono titolari effettivi il disponente, il fiduciario, i beneficiari o, se individuati, la categoria di persone nel cui interesse è istituito il trust, nonché qualsiasi altra persona fisica che eserciti, in ultima istanza, il controllo sui beni oggetto del trust o dell’istituto analogo.

Modalità di identificazione del titolare effettivo

Il professionista deve richiedere al cliente le informazioni e i dati necessari per l’individuazione del titolare effettivo, attraverso una dichiarazione scritta resa ai sensi dell’art. 22 del D.Lgs. n. 231/2007.

La Regola Tecnica specifica che il professionista non è tenuto ad acquisire la copia del documento di identità del titolare effettivo, salvo che sussistano dubbi, incertezze o incongruenze sui dati forniti. In tali casi, è necessario procedere alla verifica documentale diretta.

La verifica deve essere svolta “in buona fede professionale”, avvalendosi di fonti affidabili, come visure camerali, registri pubblici o database ufficiali.

Nel caso di trust e istituti affini, la comunicazione dei dati relativi ai titolari effettivi è a carico del fiduciario o della persona che esercita funzioni equivalenti. Il professionista che riceve l’incarico deve comunque accertarsi della completezza e dell’attendibilità delle informazioni fornite, conservandone copia nel fascicolo antiriciclaggio.

Persone Politicamente Esposte (PPE)

Un ambito di particolare complessità operativa riguarda la gestione delle Persone Politicamente Esposte (PPE), ossia i soggetti che rivestono o hanno rivestito importanti cariche pubbliche, nonché i loro familiari stretti e le persone con cui intrattengono rapporti d’affari. Il riferimento normativo è l’art. 1, comma 1del D.Lgs. n. 231/2007, lett. dd), che recepisce la definizione contenuta nella Dir. UE n. 2015/849 dir02015052000849.

La qualifica di PPE comporta l’obbligo di applicare misure di adeguata verifica rafforzata, indipendentemente dall’esito della valutazione del rischio specifico.

Il ricorso a terzi per l’esecuzione dell’adeguata verifica

Un ulteriore istituto di rilievo operativo è rappresentato dal ricorso a terzi per l’assolvimento degli obblighi di adeguata verifica, disciplinato dall’art. 26 del D.Lgs. n. 231/2007 e dettagliato nella Regola Tecnica n. 2. Tale possibilità risponde all’esigenza di evitare duplicazioni di attività e di agevolare la cooperazione tra professionisti, soprattutto nei casi in cui più soggetti siano coinvolti nella medesima operazione o prestazione.

Il professionista può avvalersi dell’attestazione di adeguata verifica rilasciata da soggetti terzi appartenenti alle categorie indicate dal Decreto, ossia:

  • intermediari finanziari e altri soggetti obbligati ai sensi dell’art. 3 del D.Lgs. n. 231/2007;
  • altri professionisti, purché soggetti agli stessi obblighi e vincoli di riservatezza;
  • notai, avvocati e revisori legali, in relazione alle attività di loro competenza.

Il rilascio dell’attestazione deve provenire dal soggetto che ha effettivamente eseguito l’adeguata verifica nei confronti del cliente, e deve essere accompagnato dalla documentazione probatoria utilizzata. Il professionista che riceve l’attestazione resta comunque responsabile della correttezza dell’adempimento, potendo farvi affidamento solo se ha ragione di ritenere che il terzo sia conforme agli standard di legge.

Conclusioni

L’adeguata verifica della clientela, così come strutturata nella Regola Tecnica n. 2, non è un adempimento formale, ma un processo conoscitivo e valutativo che integra la normale attività professionale del commercialista. Essa rappresenta un obbligo di metodo e non di risultato: ciò che viene richiesto è la dimostrazione della razionalità e della coerenza delle scelte adottate in relazione al rischio.

Il professionista non deve limitarsi a raccogliere documenti, ma deve essere in grado di interpretare le informazioni acquisite, di contestualizzarle rispetto alla natura dell’incarico e di documentare le proprie decisioni. La Regola Tecnica n. 2 fornisce un quadro operativo che, se applicato con rigore, consente di raggiungere un duplice obiettivo: garantire la conformità normativa e rafforzare l’affidabilità della funzione professionale nel sistema economico.

L’adozione consapevole delle regole tecniche rappresenta quindi una forma di autotutela organizzativa, che protegge il professionista non solo da sanzioni, ma anche da rischi reputazionali e da potenziali coinvolgimenti in procedimenti penali. In un contesto di crescente attenzione da parte delle autorità di vigilanza e di intensificazione dei controlli, la cultura della compliance diviene parte integrante del bagaglio tecnico del dottore commercialista, alla pari delle competenze tributarie, societarie e contabili.

Riferimenti normativi:

Il contenuto di questa newsletter è strettamente riservato e destinato esclusivamente ai destinatari autorizzati.
È espressamente vietata la condivisione totale o parziale di questa comunicazione su qualsiasi piattaforma pubblica o privata, inclusi (ma non limitati a):
• Gruppi e canali Telegram
• Chat di gruppo o broadcast su WhatsApp
• Post o storie su Facebook, Instagram, X (Twitter), LinkedIn, o altri social network.

Ogni violazione di questa norma potrà comportare l’esclusione immediata dalla lista dei destinatari e, nei casi più gravi, azioni legali.