L’emanazione della Regola Tecnica n. 2 del Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili (CNDCEC), approvata mediante Deliberazione n. 9 del 16 gennaio 2025, acquisito il parere del Comitato di Sicurezza Finanziaria reso in data 27 dicembre 2024, costituisce un intervento di natura normativa secondaria di rilevanza decisiva per l’attuazione operativa degli obblighi disciplinati dagli artt. 17-30 del D.Lgs. 21 novembre 2007, n. 231 (c.d. “Decreto antiriciclaggio”). Tale pronunciamento rappresenta il terzo aggiornamento delle Regole Tecniche antiriciclaggio, seguendo le versioni del 2019 e dell’aggiornamento parziale del 2024, e si colloca all’interno di un processo di progressiva armonizzazione della disciplina nazionale con i paradigmi dettati dalla Dir. UE 20 maggio 2015, n. 2015/849 e dalle successive direttive di ricognizione comunitaria. La Regola Tecnica si situa quale fonte di disciplina integrativa della normativa legislativa di carattere generale, rivestendo natura vincolante per gli iscritti agli Ordini territoriali ai sensi dell’art. 11, comma 2, del D.Lgs. n. 231/2007. Essa costituisce parametro di conformità nelle azioni di ispezione e controllo esercitate dalle autorità competenti, incluse la Guardia di Finanza e l’Unità di Informazione Finanziaria (UIF) presso Banca d’Italia. L’inosservanza dei criteri e delle metodologie ivi contenuti può integrare, oltre che una violazione di carattere disciplinare (perseguibile dagli Ordini), anche un indice di inadeguatezza dei presidi organizzativi e procedurali adottati dallo studio professionale, con le relative conseguenze sanzionatorie. L’adeguata verifica della clientela riveste, nella prospettiva della prevenzione del riciclaggio di denaro e del finanziamento del terrorismo, un ruolo di presidio sostanziale di legalità e trasparenza nelle relazioni professionali, trascendendo la natura di semplice adempimento documentale burocratico. Essa consente l’identificazione tempestiva di operazioni anomale, la rilevazione di schemi fraudolenti e l’intercettazione di utilizzi distorti dei servizi professionali per finalità illecite di riciclaggio ovvero finanziamento di attività terroristiche, come definite dalle convenzioni internazionali e dagli atti normativi europei.

Il principio dell’approccio basato sul rischio: fondamento metodologico e implicazioni operative

Inquadramento concettuale dell’approccio risk-based

L’elemento fondante della disciplina contenuta nella Regola Tecnica n. 2 poggia sul principio dell'”approccio basato sul rischio” (c.d. risk-based approach), il quale è stato introdotto a livello unionale dalla Dir. UE 2015/849 e recepito nel nostro ordinamento tramite l’art. 20 del D.Lgs. n. 231/2007. Tale approccio rappresenta una discontinuità metodologica rispetto a precedenti formulazioni della disciplina antiriciclaggio, caratterizzate da misure di verifica uniformi e indifferenziate applicate a prescindere dalle specifiche caratteristiche della clientela o della prestazione professionale.

Il principio del risk-based approach postula, in termini fondamentali, che l’intensità e l’estensione dei controlli da parte del soggetto obbligato debbano essere proporzionate al livello di rischio di riciclaggio e di finanziamento del terrorismo effettivamente associato a ciascun cliente, a ciascuna prestazione professionale e a ciascuna operazione concretamente considerata. Ne discende l’importante conseguenza che il professionista non è tenuto ad applicare in maniera uniforme e indifferenziata le medesime misure a tutti i clienti, bensì deve svolgere un’attenta analisi preliminare finalizzata a calibrare il grado di approfondimento e l’intensità del monitoraggio in base al rischio effettivamente rilevato nel caso di specie.

Questo modello operativo presenta vantaggi considerevoli dal punto di vista dell’efficienza: consente agli studi professionali di concentrare le risorse di verifica e controllo laddove il rischio risulti maggiormente significativo, evitando sovrautilizzi di mezzi e tempo nei confronti di clienti e operazioni che presentino profili di rischio marginali. Simultaneamente, esso comporta una complessificazione della metodologia di valutazione, la quale non può più limitarsi a semplici checklist, ma richiede l’adozione di processi strutturati e documentati, supportati da criteri decisionali espliciti e tracciabili.

Struttura della Regola Tecnica n. 2: configurazione metodologica a tre fasi

La Regola Tecnica n. 2 fornisce ai professionisti uno strumento operativo che, pur mantenendo la flessibilità richiesta dall’approccio basato sul rischio, mira ad assicurare uniformità interpretativa e coerenza applicativa su tutto il territorio nazionale. A tal fine, la Regola articola il processo di valutazione del rischio secondo una struttura metodologica composta da tre fasi logiche e consequenziali, ciascuna delle quali presuppone l’applicazione di criteri oggettivi e la ponderazione di elementi soggettivi, con successiva traduzione dei risultati in un livello numerico graduato da 1 a 4 (corrispondente rispettivamente a rischio non significativo, poco significativo, abbastanza significativo e molto significativo).

Prima fase: valutazione del rischio inerente

La valutazione del rischio inerente è rivolta all’identificazione del rischio “tipico” o “proprio” delle diverse prestazioni professionali, considerato in modo astratto e indipendentemente dalle caratteristiche peculiari del cliente ovvero dalle circostanze specifiche del caso concreto. È un rischio preesistente alla prestazione stessa, che deriva dalla natura della medesima attività professionale considerata in termini oggettivi e astratti. Tale dimensione di rischio riflette la vulnerabilità intrinseca di talune prestazioni rispetto al potenziale utilizzo distorto per finalità di riciclaggio o finanziamento del terrorismo.

Per consentire una classificazione uniforme e coerente, il CNDCEC ha elaborato due tabelle (Tabella 1 e Tabella 2) che identificano le prestazioni professionali secondo il loro grado di rischio inerente. La Tabella 1 comprende le prestazioni classificate a rischio inerente non significativo, cioè quelle in cui il rischio di riciclaggio o di finanziamento del terrorismo risulta marginale in ragione della struttura intrinseca dell’incarico, dell’assenza di movimentazioni finanziarie dirette da parte del professionista e della presenza di presidi normativi di controllo già operanti in via generale.

Rientrano tra le attività a rischio inerente non significativo: gli incarichi di componente di collegio sindacale privo di funzioni di revisione legale; l’apposizione del visto di conformità su dichiarazioni fiscali; la predisposizione di interpelli e pareri pro veritate; le funzioni di consulente tecnico di parte; le prestazioni di assistenza giudiziale, mediazione e arbitrato; gli incarichi conferiti dall’autorità giudiziaria quali curatore, commissario, liquidatore o perito in procedimenti concorsuali. Si tratta di attività che, pur rientrando nell’ambito delle funzioni tipiche del professionista, non comportano di norma l’assunzione di decisioni economicamente rilevanti ovvero la gestione diretta di risorse economiche del cliente.

Al medesimo livello di rischio non significativo appartengono, secondo le novità introdotte dalla Deliberazione n. 9 del 2025, anche le attività di docenza, le collaborazioni editoriali, gli incarichi di componente di organismi di vigilanza ex D.Lgs. n. 231/2001 (modello organizzativo gestionale), nonché le mere funzioni operative di deposito telematico ovvero di adempimento burocratico presso uffici pubblici o Camere di Commercio. Nella fattispecie di tali ultime prestazioni, il professionista non entra in contatto con flussi finanziari o patrimoniali del cliente né svolge un ruolo di intermediazione ovvero consulenza avente impatto economico.

Il grado di rischio inerente aumenta progressivamente in relazione alla complessità intrinseca della prestazione, alla sua natura economica e alla finalità sostanziale dell’incarico. La Tabella 2 della Regola Tecnica identifica, oltre al livello non significativo (grado 1), tre ulteriori classi: poco significativo (grado 2), abbastanza significativo (grado 3) e molto significativo (grado 4).

Nel livello poco significativo (grado 2) rientrano le attività di amministrazione e liquidazione di società o patrimoni su nomina non giudiziale; la consulenza tributaria; la consulenza contrattuale; la custodia e conservazione di beni; la valutazione di quote, aziende o patrimoni. Si tratta di attività che, pur potendo coinvolgere aspetti patrimoniali significativi, si svolgono entro un perimetro di controllo definito e sotto presidi normativi consolidati, con documentazione probatoria facilmente verificabile.

Nel livello abbastanza significativo (grado 3) figurano attività ad elevato contenuto fiduciario ovvero che comportano un rischio più marcato di utilizzo improprio: amministrazione di trust o istituti giuridici affini; consulenza aziendale continuativa; attività di valutazione tecnica di iniziative d’impresa; consulenza economico-finanziaria; costituzione di enti e strutture societarie; tenuta della contabilità; consulenza nella redazione del bilancio; revisione legale dei conti. Queste prestazioni espongono il professionista a un rischio più concreto di intermediazione inconsapevole in operazioni potenzialmente distorsive, anche in ragione della frequenza, della durata e della continuità del rapporto professionale, che favorisce forme di confidenza e familiarità potenzialmente idonee a ridurre il livello di controllo consapevole.

Nel livello molto significativo (grado 4) sono classificate le operazioni di finanza straordinaria, quali fusioni, scissioni, acquisizioni, cessioni di partecipazioni ovvero di aziende, ristrutturazioni societarie e operazioni straordinarie in genere. In tali contesti, la circolazione di capitali di ingente ammontare, la complessità delle strutture giuridiche coinvolte, la possibile interposizione di veicoli societari di natura opaca rendono la prestazione particolarmente esposta a finalità elusive ovvero di riciclaggio. La dinamica delle operazioni straordinarie, inoltre, comporta frequentemente il coinvolgimento di soggetti terzisti (banche, studi legali, intermediari finanziari), aspetto che accresce il rischio di intermediazione implicita.

Una questione interpretativa di rilievo concerne l’esclusione dalla valutazione di adeguata verifica per le attività di mera redazione e trasmissione di dichiarazioni derivanti da obblighi fiscali e degli adempimenti in materia di amministrazione del personale, secondo quanto previsto dal comma 7 dell’art. 17 del D.Lgs. n. 231/2007. La Regola Tecnica n. 2 chiarisce che nell’esclusione rientrano tutte le attività, anche prodromiche, legate alla redazione e trasmissione delle dichiarazioni derivanti da obblighi fiscali, nonché gli ulteriori adempimenti tributari connessi, come ad esempio la trasmissione dei modelli F24 e l’invio della documentazione amministrativa agli uffici pubblici competenti. Tuttavia, l’esclusione opera soltanto laddove la prestazione sia effettivamente connotata dal carattere della “mera” redazione e trasmissione: qualora il professionista svolga, contestualmente o in relazione al medesimo cliente, attività aggiuntive di consulenza, advisory ovvero di valutazione di operazioni di natura economica, allora l’obbligo di adeguata verifica risorge pienamente.

Seconda fase: valutazione del rischio specifico

Completata la classificazione del rischio inerente, il professionista deve procedere alla valutazione del rischio specifico, il quale rappresenta la componente dinamica e personalizzata del processo di analisi. Tale valutazione prende in considerazione sia gli aspetti connessi al cliente (configurati nella Tabella A della Regola Tecnica) sia quelli connessi alla prestazione professionale nella sua dimensione concreta (Tabella B), attribuendo a ciascun fattore un punteggio compreso tra 1 e 4, dove 1 corrisponde a rischio non significativo, 2 a poco significativo, 3 ad abbastanza significativo e 4 a molto significativo.

Aspetti connessi al cliente (Tabella A)

Gli aspetti connessi al cliente includono, in particolare, quattro dimensioni di valutazione:

Natura giuridica del cliente. La distinzione opera entre persone fisiche, società di capitali (S.r.l., S.p.A., S.a.p.a.), società di persone (S.n.c., S.a.s.), enti non commerciali (associazioni, fondazioni, comitati), trust e soggetti assimilati. Tale distinzione riveste rilievo poiché la struttura giuridica dell’ente incide sulla trasparenza della titolarità effettiva e sulla tracciabilità dei flussi decisionali e patrimoniali. Le società di capitali azionarie, in particolare, presentano livelli di opacità maggiori rispetto alle società di persone, ove la responsabilità è personale e illimitata, salvo in caso di sottocapitalizzazione o interposizione di veicoli fiduciari.

Prevalente attività svolta dal cliente. Il CNDCEC ha individuato taluni settori considerati a maggiore esposizione dal punto di vista del riciclaggio e del finanziamento del terrorismo, quali edilizia (specialmente nel meridione), commercio di preziosi e metalli preziosi, gestione di contante e valute, attività transfrontaliere, intermediazione finanziaria non regolamentata, commercio di beni di lusso. La scelta del settore di attività del cliente influisce significativamente sul profilo di rischio, in quanto determinati settori presentano una maggiore ricorrenza di operazioni anomale e potenzialmente illecite secondo i dati e le statistiche pubblicate dalla stessa UIF.

Comportamento del cliente al momento del conferimento dell’incarico. Tale elemento riguarda la valutazione comportamentale espressa in termini di trasparenza, collaborazione e disponibilità a fornire informazioni complete e verificabili. Un cliente che presenta esitazioni, fornisce informazioni incoerenti, si oppone a verifiche documentali ovvero esercita pressioni affinché l’incarico sia conferito in tempi brevissimi senza adeguata documentazione preliminare, rappresenta un elemento di incremento del profilo di rischio. Inversamente, un cliente che dimostra massima trasparenza, fornisce volontariamente documentazione supplementare e si mostra disponibile a chiarimenti rappresenta un elemento di mitigazione del rischio.

Area geografica di residenza o sede del cliente e della controparte. Tale elemento è particolarmente rilevante e incorpora le liste di Paesi ad alto rischio individuate dalla Commissione europea ovvero dagli organismi internazionali quali il FATF (Financial Action Task Force) e il GAFI (Grupo de Acción Financiera). Clienti residenti in Paesi a giurisdizione non cooperante, soggetti a sanzioni internazionali, Paesi caratterizzati da deboli presidi antiriciclaggio o corruzione sistemica presentano un profilo di rischio incrementato.

Aspetti connessi alla prestazione professionale (Tabella B)

Gli aspetti connessi alla prestazione comprendono quattro dimensioni:

Tipologia e modalità di svolgimento della prestazione. Tale elemento distingue fra prestazioni di consulenza pura (senza gestione di risorse), prestazioni di gestione diretta di patrimoni (trust, amministrazione di patrimoni), prestazioni di intermediazione finanziaria, prestazioni di verifica (revisione legale). La modalità di svolgimento riguarda inoltre se l’attività sia esercitata in presenza diretta del cliente ovvero a distanza, se comporti sottoscrizione di documenti da parte del cliente, se sia prevista gestione di conti correnti ovvero movimentazione di denaro.

Ammontare dell’operazione e frequenza o durata del rapporto professionale. Un’operazione di ammontare minimale (inferiore a 5.000 euro) presenta un profilo di rischio inferiore rispetto a un’operazione di ammontare significativo (superiore a 100.000 euro). La durata continuativa del rapporto, specialmente se caratterizzata da frequenti movimentazioni, accresce il profilo di rischio rispetto a un incarico occasionale e circoscritto.

Ragionevolezza dell’operazione in relazione al profilo del cliente. Questo elemento richiede al professionista una valutazione economica della coerenza della prestazione rispetto al profilo noto del cliente. Titolo esemplificativo: un cliente che esercita attività commerciale ordinaria richiede improvvisamente la strutturazione di un trust con beneficiario in Paesi terzi e, contestualmente, intende trasferire liquidi in quantità significative tramite bonifici internazionali; oppure un libero professionista con reddito di medio livello richiede consulenza per acquisire una partecipazione azionaria di ammontare superiore al suo patrimonio apparente. Tali incongruenze costituiscono elementi di “rosso flag” (bandiera rossa) che impongono approfondimenti investigativi ulteriori.

Area geografica di destinazione dei fondi o dell’attività. Se l’operazione comporta trasferimento di denaro verso Paesi terzi ad alto rischio, deposito di beni presso intermediari non vigilati, interposizione di strutture societarie in Paesi a bassa trasparenza fiscale, il profilo di rischio della prestazione si incrementa significativamente.

La somma dei punteggi attribuiti alle Tabelle A e B viene poi divisa per il numero complessivo degli aspetti da valutare, generalmente dieci. Tuttavia, con riferimento ad alcune prestazioni professionali quali revisione legale dei conti, tenuta della contabilità, assistenza e consulenza continuativa generica in ambito contabile e fiscale, la Tabella B non deve essere compilata, attesa l’inapplicabilità della tipologia dei dati richiesti nella stessa. Ne consegue che in relazione a dette prestazioni il rischio specifico si ottiene sommando i punteggi della Tabella A e dividendo per quattro.

La media aritmetica dei punteggi consente di determinare il livello di rischio specifico complessivo secondo la Tabella C, la quale fornisce fasce di classificazione: da 1 a inferiore a 1,6 (non significativo), da 1,6 a inferiore a 2,6 (poco significativo), da 2,6 a inferiore a 3,6 (abbastanza significativo), da 3,6 a 4,0 (molto significativo).

Tale classificazione non ha carattere rigido, costituendo invece un parametro di riferimento uniforme suscettibile di adeguamento in funzione dell’evoluzione normativa e delle linee guida pubblicate dall’Unità di Informazione Finanziaria (UIF) e dagli altri organismi internazionali competenti.

Terza fase: valutazione del rischio effettivo e determinazione del livello di rischio complessivo

La fase successiva è quella della determinazione del rischio effettivo, il quale rappresenta la sintesi ponderata tra il rischio inerente e il rischio specifico. La Regola Tecnica stabilisce che la ponderazione avvenga attribuendo al rischio inerente un coefficiente del 30% e al rischio specifico un coefficiente del 70%, riflettendo la consapevolezza che il contesto concreto della prestazione riveste maggiore rilevanza rispetto alla tipologia astratta della prestazione stessa. Il calcolo matematico può essere espresso secondo la formula:

Rischio effettivo = (Rischio inerente × 0,30) + (Rischio specifico × 0,70)

Il valore così ottenuto viene poi confrontato con la Tabella D, che consente di attribuire la classe finale di rischio: da 1 a inferiore a 1,6 (non significativo), da 1,6 a inferiore a 2,6 (poco significativo), da 2,6 a inferiore a 3,6 (abbastanza significativo), da 3,6 a 4,0 (molto significativo).

Il livello di rischio effettivo così determinato è quello che orienta la scelta delle misure di adeguata verifica da applicare, secondo la scala graduata prevista dalla Regola Tecnica: misure semplificate per i casi a rischio non significativo o poco significativo; misure ordinarie per i casi a rischio abbastanza significativo; misure rafforzate per i casi a rischio molto significativo. La logica sottostante è quella della proporzionalità: il professionista è chiamato a intensificare le verifiche e a ridurre la frequenza del controllo in modo coerente con il grado di rischio complessivo.

L’identificazione della clientela: profili metodologici e innovazioni procedurali

Il momento identificativo quale adempimento preliminare imprescindibile

L’identificazione del cliente costituisce il momento iniziale e imprescindibile dell’adeguata verifica. Essa consiste nella raccolta dei dati identificativi del cliente e, ove presente, dell’esecutore (colui che materialmente sottoscrive o autorizza le operazioni in nome del cliente), mediante un documento di riconoscimento valido oppure attraverso altra fonte attendibile. La verifica dell’identità, in termini concreti, implica l’accertamento della corrispondenza tra i dati raccolti e il soggetto effettivamente presente, laddove l’interazione sia diretta, ovvero tra i dati raccolti e la documentazione acquisita, laddove l’interazione sia effettuata a distanza.

La Regola Tecnica n. 2 chiarisce espressamente che l’identificazione può essere effettuata anche a distanza, in presenza di determinate condizioni di garanzia. In particolare, l’identificazione a distanza si considera valida e conforme agli obblighi normativi quando i dati identificativi risultano provenienti da:

• Atti pubblici ovvero scritture private autenticate, quale certificato di nascita, certificato di cittadinanza, passaporto, patente di guida
• Certificati qualificati utilizzati per la firma digitale e il voto informatico
• Identità digitale con livello di garanzia almeno significativo, quale SPID (Sistema Pubblico d’Identità Digitale), CIE (Carta d’Identità Elettronica), ovvero sistemi equivalenti europei conformi al Reg. UE n. 910/2014 (c.d. eIDAS Regulation)
• Dichiarazioni di rappresentanza consolare italiana
• Precedente identificazione effettuata dal medesimo professionista per un altro incarico, purché i dati risultino aggiornati e coerenti con il nuovo rapporto

Questo elenco rappresenta un’apertura significativa rispetto alla prassi tradizionale, poiché consente di gestire in via telematica una quota rilevante delle verifiche preliminari, con indubbi benefici di efficienza operativa. Tuttavia, è opportuno sottolineare che la validità dell’identificazione a distanza è condizionata al mantenimento di livelli elevati di affidabilità delle fonti, e che il professionista rimane comunque responsabile dell’adeguatezza della verifica, anche laddove si avvalga di sistemi di identificazione informatici.

Articolazione della procedura identificativa e tracciamento

L’acquisizione dei dati identificativi deve comprendere:

• Generalità complete (nome, cognome, data e luogo di nascita, indirizzo di residenza)
• Identificativo del documento di riconoscimento utilizzato (numero, data di rilascio e scadenza, autorità rilasciante)
• Numero di identificazione fiscale (codice fiscale) e, ove applicabile, partita IVA
• Per i soggetti giuridici, i dati di iscrizione al Registro Imprese e le informazioni relative agli amministratori pro tempore
• Qualora il cliente non sia presente personalmente, i dati dell’esecutore (colui che rappresenta il cliente nell’interazione con il professionista)

Nel contesto degli studi associati e delle società tra professionisti, la Regola Tecnica n. 2 specifica che la responsabilità dell’identificazione e della verifica grava sul professionista incaricato, anche nel caso in cui le operazioni materiali possono essere delegate a dipendenti ovvero collaboratori dello studio. In tale prospettiva, il tracciamento della responsabilità individuale risulta essenziale ai fini della conformità normativa e della imputabilità disciplinare.

Qualora il cliente abbia già ricevuto un incarico dal medesimo professionista per prestazioni professionali diverse, l’identificazione può essere considerata valida, anche senza la ripetizione della procedura, purché le informazioni precedentemente acquisite risultino aggiornate e coerenti con il nuovo profilo di rischio. Tale norma favorisce l’efficienza operativa e evita duplicazioni inutili, tuttavia il professionista deve esercitare una valutazione critica sull’aggiornamento effettivo dei dati, poiché intercorrenze significative nel tempo (ad esempio, variazioni di sede, di amministratori, di natura dell’attività) potrebbero rendere inattendibili le informazioni precedentemente raccolte.

Titolare effettivo e persone politicamente esposte: profili di identificazione e verifica

Inquadramento definitorio e significato operativo del titolare effettivo

L’identificazione del titolare effettivo rappresenta uno degli obblighi centrali della disciplina di adeguata verifica della clientela. La rilevanza di tale obbligo risiede nella consapevolezza che le strutture societarie complesse, i veicoli fiduciari, i trust e gli istituti analoghi possono costituire strumenti di dissimulazione dell’identità dei reali beneficiari di operazioni di riciclaggio ovvero finanziamento del terrorismo. La legislazione nazionale e le direttive europee hanno progressivamente enfatizzato l’importanza della trasparenza sulla titolarità effettiva, introducendo registri e obblighi informativi specifici.

Ai sensi dell’art. 1, comma 2, lett. pp) del D.Lgs. n. 231/2007, il titolare effettivo è definito quale la persona fisica o le persone fisiche alle quali, in ultima istanza, è attribuibile la proprietà diretta ovvero indiretta di un’entità giuridica, ovvero il controllo della medesima. Il Decreto distingue le ipotesi a seconda della natura del soggetto cliente:

Nel caso di società di capitali (S.p.A., S.r.l., S.a.p.a., S.e.m.p.), è titolare effettivo la persona fisica che detiene, direttamente ovvero indirettamente, una partecipazione superiore al 25% del capitale sociale o dei diritti di voto. Qualora nessuna persona fisica raggiunga tale soglia, è considerato titolare effettivo colui che esercita, in altro modo, il controllo sulla società, anche mediante accordi, influenza dominante, vincoli contrattuali ovvero patti parasociali. Tale formulazione introduce un elemento di flessibilità interpretativa importante, poiché consente di catturare forme di controllo sostanziale che non si manifestano attraverso titolarità formale di partecipazioni.

Nel caso di persone giuridiche private (associazioni, fondazioni, comitati), il titolare effettivo coincide con i soggetti che rivestono funzioni di rappresentanza legale, amministrazione ovvero direzione. In tali ipotesi, la identificazione risulta semplificata rispetto alle strutture societarie, poiché la legge presume una corrispondenza fra titolarità formale e controllo sostanziale.

Per i trust e gli istituti giuridici affini, sono titolari effettivi il disponente (colui che trasferisce i beni), il fiduciario (colui che gestisce i beni), i beneficiari o, ove individuati, la categoria di persone nel cui interesse è istituito il trust, nonché qualsiasi altra persona fisica che eserciti, in ultima istanza, il controllo sui beni oggetto del trust o dell’istituto analogo. Tale disciplina rispecchia l’architettura tipica dei trust secondo il common law, ove la proprietà è scissa fra titolarità giuridica (fiduciario) e beneficio economico (beneficiari).

Modalità operative di identificazione e verifica

Il professionista deve richiedere al cliente le informazioni e i dati necessari per l’individuazione del titolare effettivo, attraverso una dichiarazione scritta resa ai sensi dell’art. 22 del D.Lgs. n. 231/2007. La dichiarazione deve essere sottoscritta dal cliente, possibilmente in forma autentica, e deve contenere i dati identificativi completi del titolare effettivo.

Una questione interpretativa di rilievo attiene al momento in cui il professionista è obbligato ad acquisire la copia del documento di identità del titolare effettivo. La Regola Tecnica specifica che il professionista non è tenuto ad acquisire la copia del documento di identità del titolare effettivo, salvo che sussistano dubbi, incertezze ovvero incongruenze sui dati forniti. In tali casi, è necessario procedere alla verifica documentale diretta, acquisendo copia del documento di identità e sottoponendolo a riscontro incrociato con i dati dichiarati dal cliente.

La verifica deve essere svolta “in buona fede professionale”, avvalendosi di fonti affidabili, quali visure camerali, registri pubblici (Registro Imprese presso le Camere di Commercio, Registro dei Titolari effettivi presso l’Agenzia delle Entrate), database ufficiali, consultazione dei bilanci depositati presso il Registro Imprese.

Nel caso di trust e istituti affini, la comunicazione dei dati relativi ai titolari effettivi è a carico del fiduciario ovvero della persona che esercita funzioni equivalenti. Il professionista che riceve l’incarico deve comunque accertarsi della completezza e dell’attendibilità delle informazioni fornite, conservandone copia nel fascicolo antiriciclaggio.

Persone Politicamente Esposte (PPE): obblighi di identificazione e misure rafforzate

Un ambito di particolare complessità operativa riguarda la gestione delle Persone Politicamente Esposte (PPE), ossia i soggetti che rivestono o hanno rivestito importanti cariche pubbliche, nonché i loro familiari stretti e le persone con cui intrattengono rapporti d’affari. Il riferimento normativo è l’art. 1, comma 1, del D.Lgs. n. 231/2007, lett. dd), che recepisce la definizione contenuta nella Dir. UE n. 2015/849.

La qualifica di PPE comporta l’obbligo di applicare misure di adeguata verifica rafforzata, indipendentemente dall’esito della valutazione del rischio specifico e dalla classe di rischio effettivo attribuita alla prestazione. Tale previsione riflette il riconoscimento legislativo che le PPE presentano un profilo di rischio elevato, in quanto suscettibili di utilizzare i servizi professionali al fine di riciclare proventi da corruzione, malversazione di fondi pubblici o altre forme di criminalità che trovano spesso finanziamento attraverso canali finanziari articolati.

L’identificazione delle PPE richiede al professionista una verifica costante presso banche dati pubbliche, quali le liste OFAC (Office of Foreign Assets Control) del Dipartimento del Tesoro americano, le liste dell’Unione europea relative alle sanzioni, le liste pubblicate dal Ministero dell’Interno italiano, nonché consultazione di open source intelligence (OSINT) e media monitoring per verificare eventuali notizie di rilievo riguardanti il cliente o i suoi familiari.

Misure di adeguata verifica: ordinaria, semplificata e rafforzata

Misure ordinarie di adeguata verifica

Le misure ordinarie costituiscono il livello standard di controllo, applicabile nella generalità dei casi in cui non sussistono elementi di basso o alto rischio. Esse comprendono tutte le attività previste dagli artt. 18 e 19 del D.Lgs. n. 231/2007 e sono sempre dovute per le prestazioni professionali che implicano una conoscenza approfondita della situazione economico-finanziaria del cliente, quale tenuta della contabilità, revisione legale, consulenza aziendale continuativa.

L’identificazione del cliente deve essere effettuata prima dell’instaurazione del rapporto professionale e deve comprendere: acquisizione dei dati anagrafici completi; verifica della validità del documento di riconoscimento; raccolta delle informazioni relative al titolare effettivo attraverso dichiarazione scritta del cliente ai sensi dell’art. 22 del Decreto; verifica della coerenza delle informazioni fornite con la natura e lo scopo della prestazione.

Il professionista deve inoltre acquisire e conservare copia della documentazione probatoria raccolta, le fonti utilizzate e l’esito della valutazione di rischio, includendo la motivazione dell’assegnazione della classe di rischio complessiva.

Durante la fase di svolgimento del rapporto professionale, il professionista è tenuto a esercitare un controllo costante, verificando periodicamente che le informazioni acquisite siano ancora attuali e che le operazioni del cliente siano coerenti con la conoscenza pregressa del suo profilo. Tale controllo assume particolare rilievo nei rapporti continuativi di consulenza, tenuta contabilità o revisione, in cui la relazione fiduciaria è stabile e duratura, e quindi il professionista dispone di opportunità continue di rilevare operazioni anomale o incongruenze rispetto al profilo noto del cliente.

Misure semplificate di adeguata verifica

Le misure semplificate possono essere adottate nei casi di basso rischio di riciclaggio o di finanziamento del terrorismo, come previsto dall’art. 23 del D.Lgs. n. 231/2007. La Regola Tecnica precisa che tali misure sono applicabili solo a seguito di una valutazione in concreto del rischio e non per presunzione automatica.

Rientrano tra i clienti o le situazioni a basso rischio: società quotate in mercati regolamentati, soggette a obblighi di trasparenza sulla titolarità effettiva imposti dalle autorità di vigilanza; pubbliche amministrazioni e enti pubblici che svolgono funzioni istituzionali; clienti stabiliti o residenti in Paesi a basso rischio, come individuati dalla Commissione europea; intermediari finanziari vigilati ai sensi del Testo Unico Bancario, del Testo Unico della Finanza o del Codice delle assicurazioni private; soggetti sottoposti a vigilanza da parte di autorità equivalenti europee o internazionali.

In tali casi, il professionista può ridurre l’estensione delle verifiche e la frequenza del controllo costante, purché resti dimostrabile che la valutazione del rischio sia stata effettuata. Le misure semplificate consistono, in particolare: identificazione del cliente e del titolare effettivo mediante dichiarazione scritta ai sensi dell’art. 22 del Decreto; acquisizione della copia del documento di identità; controllo costante a cadenza dilatata (ad esempio, triennale per rapporti continuativi anziché annuale); aggiornamento periodico dei dati mediante visura camerale o altra documentazione equivalente.

Una considerazione critica riguarda il profilo di responsabilità del professionista nel caso in cui, nel corso dell’applicazione di misure semplificate, emergano elementi che contraddicono la valutazione iniziale di basso rischio. In tal caso, il professionista è tenuto ad applicare immediatamente misure ordinarie o rafforzate, nonché, ove ne ricorrano i presupposti, a valutare la segnalazione di operazione sospetta.

Misure rafforzate di adeguata verifica

Le misure rafforzate trovano applicazione quando, all’esito della valutazione del rischio, il professionista accerti la presenza di un rischio elevato o molto significativo, in conformità con l’art. 24 del D.Lgs. n. 231/2007. Ciò si verifica, ad esempio, in presenza di: clienti aventi sede in Paesi terzi ad alto rischio; strutture societarie complesse o opache; operazioni di finanza straordinaria; soggetti politicamente esposti; clienti operanti in settori considerati ad alta vulnerabilità (quale il commercio di preziosi).

Le misure rafforzate richiedono al professionista un livello più elevato di approfondimento e di verifica, mediante una o più delle seguenti azioni: accertamento puntuale dell’identità del titolare effettivo e della catena di controllo attraverso acquisizione di documentazione probatoria integrale; richiesta di documentazione aggiuntiva per comprovare la provenienza lecita dei fondi utilizzati nella prestazione; utilizzo di fonti aperte e banche dati indipendenti per verificare eventuali collegamenti del cliente con liste di soggetti designati o sottoposti a sanzioni; verifica dell’eventuale coinvolgimento del cliente in procedimenti penali o indagini per reati di riciclaggio o di terrorismo; controllo rafforzato sulla coerenza economica dell’operazione, valutando la ragionevolezza dei flussi finanziari e la compatibilità con il profilo del cliente.

Dal punto di vista operativo, la Regola Tecnica suggerisce l’adozione di verifiche documentali supplementari, quali: acquisizione di due documenti di riconoscimento in corso di validità; verifica dell’esistenza di una firma digitale qualificata; richiesta di attestazioni bancarie o assicurative; consultazione di database commerciali o pubblici; riscontro diretto presso registri ufficiali (Registro Imprese, Registro dei Titolari effettivi, catasto dei trust).

L’intensità del controllo costante deve essere proporzionata alla gravità del rischio. Nei casi di rischio molto significativo, il professionista dovrà prevedere un monitoraggio periodico con frequenza almeno annuale o semestrale, aggiornando i dati identificativi e rivalutando il profilo di rischio del cliente alla luce di nuove informazioni acquisite o modifiche nelle circostanze di fatto.

Il fascicolo antiriciclaggio: struttura, contenuti e profili probatori

Configurazione strutturale e funzione probatoria

Il fascicolo antiriciclaggio del cliente costituisce il documento di sintesi dell’attività di verifica e deve contenere tutti gli elementi informativi raccolti, le valutazioni espresse e le decisioni assunte dal professionista. Esso rappresenta la prova documentale dell’adempimento dell’obbligo di adeguata verifica e, in caso di controlli da parte dell’autorità di vigilanza, consente di dimostrare la diligenza professionale esercitata, la razionalità delle scelte operative e la proporzionalità delle misure adottate.

Il fascicolo deve contenere, in forma ordinata e facilmente accessibile:

• Copia dei documenti identificativi del cliente, dell’esecutore e del titolare effettivo, con indicazione della data di acquisizione e della fonte
• La dichiarazione sul titolare effettivo, sottoscritta dal cliente ai sensi dell’art. 22 del D.Lgs. n. 231/2007
• La scheda di valutazione del rischio inerente, specifico ed effettivo, con l’indicazione dei punteggi attribuiti a ciascun fattore, delle motivazioni della valutazione e della classe di rischio finale
• Le informazioni sullo scopo e sulla natura della prestazione professionale, con riferimento al D.Lgs. n. 231/2007 e alla Regola Tecnica n. 2
• La documentazione attestante eventuali verifiche rafforzate o semplificate applicate, con motivazione della scelta
• La cronologia delle attività di controllo costante effettuate durante il rapporto, con indicazione delle date e dei contenuti delle verifiche periodiche
• Copia della documentazione supplementare acquisita durante il rapporto (variazioni di dati, comunicazioni di operazioni sospette eventualmente segnalate, aggiornamenti del profilo di rischio)

Modalità di conservazione e durata della conservazione

Il fascicolo può essere tenuto in forma cartacea, in forma digitale o in forma mista, purché siano garantite l’integrità, la riservatezza e la reperibilità dei dati. La digitalizzazione del processo di adeguata verifica rappresenta un’evoluzione coerente con le esigenze di efficienza e innovazione tecnologica degli studi professionali, tuttavia essa richiede l’adozione di sistemi informatici sicuri e conformi alla normativa in materia di protezione dei dati personali (Reg. UE n. 2016/679 – GDPR e D.Lgs. n. 196/2003 – Codice della Privacy).

Una novità significativa introdotta dalla Deliberazione n. 9 del 2025 riguarda la conservazione cartacea: il CNDCEC ha rimosso l’obbligo precedente di apporre la firma del professionista sui documenti contenuti nel fascicolo antiriciclaggio. Tuttavia, rimane l’obbligo di apporre la data, alternativamente su ciascun documento conservato ovvero su un documento riepilogativo dei dati contenuti nel fascicolo, quale elemento di tracciabilità temporale essenziale ai fini della conferma della tempestività della verifica.

La conservazione del fascicolo deve essere assicurata per almeno dieci anni dalla cessazione del rapporto professionale o dall’esecuzione della prestazione occasionale. La distruzione o la cancellazione anticipata dei dati costituisce violazione sanzionabile ai sensi dell’art. 55, comma 1, del D.Lgs. n. 231/2007, che prevede sanzioni pecuniarie significative.

Implicazioni operative e profili di criticità

Questioni interpretative pendenti e aree di incertezza applicativa

Nonostante la strutturazione compiuta della Regola Tecnica n. 2, rimangono alcuni profili di criticità interpretativa che meritano approfondimento:

Il profilo della soglia di 15.000 euro per le prestazioni occasionali. L’art. 2, comma 3, del D.Lgs. n. 231/2007 specifica che l’obbligo di adeguata verifica sorge, per le prestazioni occasionali, qualora i mezzi di pagamento trasmessi o movimentati siano di importo pari o superiore a 15.000 euro. Tuttavia, la Regola Tecnica n. 2 chiarisce che nel caso in cui il professionista non sia in grado di identificare ex ante il valore della prestazione (quale nelle consulenze per la valutazione di azienda, per cui l’ammontare della consulenza professionale è determinato solo al termine dell’incarico), l’adeguata verifica deve comunque essere effettuata. Questa soluzione operativa è corretta dal punto di vista della prevenzione del riciclaggio, tuttavia comporta per il professionista un onere aggiuntivo di valutazione preliminare, laddove talune prestazioni per loro natura comportano incertezza sulla loro qualificazione come “occasionali” versus “continuative”.

Il profilo della responsabilità negli studi associati. La Regola Tecnica n. 2 precisa che negli studi associati e nelle società fra professionisti, la responsabilità dell’identificazione e della verifica grava sul professionista incaricato, anche se le operazioni materiali possono essere delegate. Tale formulazione implica una responsabilità soggettiva del professionista incaricato, tuttavia pone interrogativi in merito alla configurazione della responsabilità degli altri soci/associati che non direttamente coinvolti nell’incarico. In particolare, permane l’incertezza riguardante la possibilità per uno studio associato di delegare completamente a un solo professionista (il “responsabile antiriciclaggio”) la verifica di tutti gli adempimenti, ovvero se ogni professionista che interagisce con il cliente rimane comunque tenuto a una forma di supervisione.

La qualificazione della “buona fede professionale” nella verifica del titolare effettivo. La Regola Tecnica prescrive che la verifica debba essere svolta “in buona fede professionale” mediante fonti affidabili. Tuttavia, la nozione di “affidabilità” della fonte rimane non completamente definita. Ad esempio, una visura camerale recente costituisce certamente fonte affidabile, tuttavia la visura non è aggiornata in tempo reale e può contenere errori di registrazione. Quale è il livello di diligenza richiesto al professionista per verificare l’attendibilità della fonte? La Regola Tecnica rimane prudente su questo punto, creando una zona di discrezionalità che potrebbe essere oggetto di contestazioni da parte delle autorità di vigilanza.

L’utilizzo di fonti aperte (OSINT) nelle verifiche rafforzate. La Regola Tecnica menziona il ricorso a “fonti aperte e banche dati indipendenti” per verificare collegamenti con soggetti designati o sottoposti a sanzioni. Tuttavia, il ricorso a OSINT (open source intelligence) mediante ricerche internet, consultazione di social media, media monitoring può produrre falsi positivi significativi. Come deve il professionista valutare l’affidabilità di informazioni acquisite da fonti aperte? Quale è il livello di approfondimento richiesto prima di revisionare il profilo di rischio del cliente sulla base di informazioni ottenute da internet? Questi interrogativi rimangono privi di risposta definitiva nella Regola Tecnica.

Il ricorso a terzi per l’esecuzione dell’adeguata verifica

Un ulteriore istituto di rilievo operativo è rappresentato dal ricorso a terzi per l’assolvimento degli obblighi di adeguata verifica, disciplinato dall’art. 26 del D.Lgs. n. 231/2007 e dettagliato nella Regola Tecnica n. 2. Tale possibilità risponde all’esigenza di evitare duplicazioni di attività e di agevolare la cooperazione fra professionisti, soprattutto nei casi in cui più soggetti siano coinvolti nella medesima operazione o prestazione.

Il professionista può avvalersi dell’attestazione di adeguata verifica rilasciata da soggetti terzi appartenenti alle categorie indicate dal Decreto, ossia: intermediari finanziari e altri soggetti obbligati ai sensi dell’art. 3 del D.Lgs. n. 231/2007; altri professionisti (commercialisti, avvocati), purché soggetti agli stessi obblighi e vincoli di riservatezza; notai, avvocati e revisori legali, in relazione alle attività di loro competenza.

Il rilascio dell’attestazione deve provenire dal soggetto che ha effettivamente eseguito l’adeguata verifica nei confronti del cliente e deve essere accompagnato dalla documentazione probatoria utilizzata. Tuttavia, il professionista che riceve l’attestazione resta comunque responsabile della correttezza dell’adempimento, potendo farvi affidamento solo se ha ragione di ritenere che il terzo sia conforme agli standard di legge. Tale previsione crea una forma di “responsabilità solidale” che rimane comunque in capo al professionista ricevente, il quale non può completamente delegare la verifica della conformità della attestazione ricevuta.

Prospettive di implementazione e adeguamento dei presidi organizzativi

Ricalibratura delle procedure di studio in conformità alla Regola Tecnica n. 2

L’implementazione concreta della Regola Tecnica n. 2 presso gli studi professionali richiede un processo strutturato di ricalibratura delle procedure di studio, che si articola su più livelli:

Livello organizzativo e di governance. Lo studio deve designare formalmente un responsabile della funzione antiriciclaggio, anche se non è più richiesta la soglia minima di 2 professionisti come in precedenza. Tale responsabile deve avere compiti di: coordinamento delle verifiche di adeguata verifica fra i vari professionisti dello studio; aggiornamento continuo dei presidi normativi e procedurali; formazione e sensibilizzazione del personale; gestione centralizzata del fascicolo antiriciclaggio laddove adottato il modello accentrato di gestione.

Livello procedurale e documentale. Lo studio deve elaborare procedure interne che descrivono nel dettaglio: il percorso di acquisizione dei dati identificativi; i criteri e i metodi per la compilazione delle Tabelle A, B, C, D di valutazione del rischio; i modelli di dichiarazione del titolare effettivo; la struttura del fascicolo antiriciclaggio; la cadenza e i contenuti del controllo costante; i criteri per la segnalazione di operazioni sospette.

Livello formativo. Lo studio deve assicurare un programma continuativo di formazione per tutti i professionisti e i collaboratori in merito: alla normativa antiriciclaggio e alle innovazioni della Regola Tecnica n. 2; ai criteri di valutazione del rischio; all’identificazione di red flags; alla modalità di compilazione della documentazione; alla gestione dei dati personali in conformità al GDPR.

Adeguamento delle politiche di gestione del rischio di riciclaggio

La Regola Tecnica n. 2 sottolinea l’importanza della autovalutazione del rischio di riciclaggio a livello di studio (Regola Tecnica n. 1), quale presupposto per l’identificazione dei fattori di rischio specifici dell’attività professionale svolta dallo studio medesimo. Sulla base di tale autovalutazione, lo studio dovrebbe ricalibrare le proprie politiche di acceptance dei clienti, ponendosi interrogativi di tipo strategico:

• Quali sono i settori di attività professionale in cui lo studio intende operare e quale profilo di rischio essi comportano?
• Quali categorie di clienti lo studio è disposto ad assumere (ad esempio, sono esclusi i clienti operanti in settori ad alta vulnerabilità, i clienti residenti in Paesi ad alto rischio)?
• Quali sono i criteri di due diligence abbreviata applicabili ai clienti a basso rischio?
• Quali sono i criteri di escalation che determinano l’applicazione di misure rafforzate?
• Quale è la frequenza del controllo costante richiesto per diverse categorie di prestazioni continuative?

Ruolo dell’UIF e evoluzione della linea interpretativa

L’Unità di Informazione Finanziaria (UIF) presso Banca d’Italia esercita un ruolo cruciale nella interpretazione e nell’evoluzione della disciplina antiriciclaggio. L’UIF pubblica periodicamente: linee guida operative; quaderni di approfondimento su casistiche di riciclaggio; segnalazioni statistiche sui trend di riciclaggio rilevati. La Regola Tecnica n. 2 espressamente prevede che essa sia suscettibile di adeguamento in funzione della evoluzione normativa e delle linee guida pubblicate dall’UIF.

È pertanto opportuno che gli studi professionali implementino un sistema di monitoraggio continuativo dei pronunciamenti dell’UIF, così da cogliere tempestivamente eventuali evoluzioni interpretative che potrebbero comportare ricalibrature delle proprie procedure e valutazioni di rischio. In particolare, l’UIF ha recentemente pubblicato il Quaderno n. 25 (dicembre 2024) contenente casistiche e fenomeni di riciclaggio e finanziamento del terrorismo, il quale fornisce indicazioni preziose sulle manifestazioni concrete di rischio di riciclaggio presso i professionisti.

Conclusioni

L’adeguata verifica della clientela, così come strutturata nella Regola Tecnica n. 2, non è configurabile quale mero adempimento documentale formale, ma rappresenta un processo di conoscenza e valutazione del rischio che integra la normale attività professionale del commercialista. Essa si pone quale obbligo di metodo e non di risultato: ciò che viene richiesto è la dimostrazione della razionalità e della coerenza delle scelte adottate in relazione al rischio complessivo identificato.

Il professionista non deve limitarsi a raccogliere documenti e compilare moduli, ma deve essere in grado di interpretare in chiave critica le informazioni acquisite, di contestualizzarle rispetto alla natura dell’incarico, di documentare adeguatamente le proprie decisioni. La Regola Tecnica fornisce un quadro operativo che, se applicato con rigore metodologico, consente di raggiungere un duplice obiettivo: garantire la conformità normativa agli obblighi di antiriciclaggio e rafforzare l’affidabilità della funzione professionale nel sistema economico.

L’adozione consapevole delle regole tecniche rappresenta pertanto una forma di autotutela organizzativa che protegge il professionista non solo da sanzioni disciplinari e amministrative, ma anche da rischi reputazionali e da potenziali coinvolgimenti in procedimenti penali. In un contesto di crescente attenzione da parte delle autorità di vigilanza e di intensificazione dei controlli presso gli studi professionali, la cultura della compliance antiriciclaggio diviene parte integrante del bagaglio tecnico del dottore commercialista, alla pari delle competenze tributarie, societarie e contabili consolidate.

Riferimenti normativi essenziali

• D.Lgs. 21 novembre 2007, n. 231, artt. 1, 3, 17, 18, 19, 20, 22, 23, 24, 26, 31, 32, 34, 55
• Dir. UE 20 maggio 2015, n. 2015/849 (Direttiva antiriciclaggio IV)
• D.Lgs. 25 maggio 2017, n. 90 (attuazione della Direttiva n. 2015/849)
• Reg. UE n. 910/2014 (eIDAS Regulation – identificazione digitale)
• Reg. UE n. 2016/679 (GDPR – protezione dati personali)
• D.Lgs. 30 giugno 2003, n. 196 (Codice della Privacy – abrogato ma parzialmente vigente)
• CNDCEC, Deliberazione n. 9 del 16 gennaio 2025 – Regole Tecniche Antiriciclaggio (Regola Tecnica n. 2 su Adeguata Verifica della Clientela)
• Comitato di Sicurezza Finanziaria, Parere sulla Regola Tecnica n. 2, reso in data 27 dicembre 2024
• Banca d’Italia, UIF, Quaderno n. 25 (dicembre 2024) – Casistiche di riciclaggio e finanziamento del terrorismo
• Banca d’Italia, Provvedimento 16 febbraio 2024 – Disposizioni in materia di adeguata verifica della clientela (per intermediari creditizi, applicabile per rinvio anche ai professionisti)