Dal prossimo gennaio il panorama fiscale europeo subirà una trasformazione significativa. La direttiva 2023/2226/UE, meglio nota come DAC8, porta con sé un rafforzamento senza precedenti della cooperazione amministrativa tra autorità fiscali degli Stati membri. Si tratta di un cambio di passo che riguarda principalmente – ma non solo – le operazioni in cripto-attività e alcuni ruling fiscali preventivi destinati ai contribuenti con patrimoni consistenti. L’Italia ha già avviato il percorso di recepimento con lo schema di decreto legislativo approvato dal Consiglio dei Ministri l’8 ottobre 2025, in attuazione della legge di delegazione europea n. 91/2025.<
Le radici normative della cooperazione fiscale
La direttiva 2011/16/UE del Consiglio (quella del 15 febbraio) sulla cooperazione amministrativa nel settore fiscale ha costituito, sin dalla sua entrata in vigore, il cardine dello scambio automatico di informazioni tra le amministrazioni finanziarie europee. Nel corso degli anni questa normativa ha conosciuto varie modifiche (le cosiddette DAC, da DAC1 fino a DAC7) che hanno progressivamente ampliato il perimetro delle informazioni soggette a scambio: dai redditi da lavoro ai conti finanziari, dai dividendi alle polizze assicurative. La DAC8 rappresenta, in questo solco, un’estensione ulteriore che risponde alle sfide poste dall’economia digitale e dalla finanza decentralizzata.
Quello che occorre considerare è come questa evoluzione normativa non sia casuale. L’OCSE ha elaborato il Crypto-Asset Reporting Framework (CARF), uno standard globale per la raccolta e trasmissione dei dati fiscali legati ai token digitali, e la DAC8 lo recepisce integralmente. Come spesso accade nelle dinamiche tra diritto internazionale e diritto dell’Unione, l’impulso arriva da organismi sovranazionali e trova poi traduzione vincolante nelle direttive europee.
Cripto-attività: il nuovo perimetro dello scambio automatico
La vera portata della DAC8 emerge quando si osserva il suo impatto sugli asset digitali. Secondo quanto previsto dall’art. 8octies bis della direttiva modificata, i fornitori di servizi per le cripto-attività (denominati nella prassi RCASP, Reporting Crypto-Asset Service Providers) dovranno raccogliere e comunicare alle autorità fiscali nazionali una serie di informazioni sulle transazioni effettuate dai propri clienti. Non si parla solo di exchange centralizzati, ma anche di piattaforme che gestiscono wallet, operatori che facilitano scambi tra cripto e valuta fiat, provider di servizi di custodia.
Gli obblighi scattano dal 1° gennaio 2026. I fornitori saranno tenuti ad applicare procedure di adeguata verifica della clientela analoghe – e in alcuni casi persino più stringenti – a quelle già previste dalla normativa antiriciclaggio. Si dovrà identificare con precisione la residenza fiscale dell’utente, documentare ogni operazione rilevante, mantenere tracce digitali verificabili. Le informazioni raccolte dovranno essere trasmesse all’Agenzia delle Entrate (o all’autorità fiscale competente nello Stato membro di riferimento) entro il 30 giugno dell’anno successivo a quello di riferimento. A loro volta, le amministrazioni nazionali provvederanno allo scambio automatico con le omologhe straniere entro 9 mesi dalla chiusura dell’anno fiscale.
Una soglia operativa merita attenzione: le transazioni superiori a 50.000 dollari saranno sempre oggetto di segnalazione, mentre per importi inferiori si applicheranno criteri di materialità che ogni Stato membro potrà declinare nelle proprie norme di recepimento.
Il registro centrale e il numero identificativo fiscale
Tra gli elementi di maggiore impatto strutturale figura l’introduzione di un registro centrale delle cripto-attività a livello europeo, da istituire entro il 31 dicembre 2025. Questo archivio digitale avrà il compito di centralizzare le informazioni sui fornitori di servizi cripto operanti nell’Unione e di facilitare l’accesso delle autorità fiscali a un elenco sicuro e costantemente aggiornato degli operatori autorizzati.
Parallelamente, la direttiva punta a rendere obbligatorio, in tutti gli scambi di informazioni tra Stati membri, l’inserimento del NIF europeo (Numero di Identificazione Fiscale). Questo codice serve per identificare in modo univoco sia persone fisiche che entità giuridiche. L’obiettivo dichiarato è facilitare il lavoro delle autorità nel riconoscere i contribuenti e nel calcolare correttamente le imposte dovute. Tale obbligo diverrà pienamente operativo tra il 2028 e il 2030, a seconda delle categorie di reddito e delle tipologie di operazione.
Non si tratta di un codice fiscale sovranazionale che sostituisce quelli nazionali (come il nostro codice fiscale italiano o il TIN di altri Paesi), bensì di un identificatore aggiuntivo che permette alle diverse amministrazioni di “parlare la stessa lingua” quando si scambiano dati. Nella prassi, il NIF coinciderà spesso con il codice fiscale nazionale, ma sarà associato a un formato standardizzato riconosciuto da tutti gli Stati membri.
Ruling fiscali e persone ad alto patrimonio netto
L’altro pilastro della DAC8 riguarda i ruling fiscali preventivi transfrontalieri destinati a individui con patrimoni significativi. Qui la soglia è fissata a 1,5 milioni di euro. Cosa si intende esattamente? Si fa riferimento a quegli accordi preventivi che un contribuente può siglare con l’amministrazione finanziaria di uno Stato membro per ottenere certezza su come verranno tassati determinati redditi o operazioni. Tipicamente, si tratta di accordi sulla residenza fiscale o su modalità di tassazione di proventi derivanti da investimenti complessi.
Finora questi ruling – pur essendo uno strumento legittimo di pianificazione fiscale – non erano soggetti a scambio automatico tra Stati membri, se non in casi specifici legati alle grandi società. La DAC8 estende questo obbligo anche alle persone fisiche, purché ricorrano due condizioni: l’importo complessivo dell’operazione o del reddito coperto dal ruling supera 1,5 milioni di euro e il ruling ha natura transfrontaliera (cioè coinvolge almeno due giurisdizioni).
Cosa comporta tutto ciò? Maggiore trasparenza, ma anche un aumento degli oneri amministrativi sia per i contribuenti che per le amministrazioni fiscali. Il contribuente che ottenga un ruling preventivo dovrà essere consapevole che le informazioni saranno condivise con le autorità fiscali degli altri Stati membri interessati. Questo può disincentivare pratiche elusive, ma può anche generare incertezze interpretative su quali dati esattamente verranno scambiati e con quali tempistiche.
Dividendi da conti non di custodia e ulteriori ambiti
Un aspetto meno pubblicizzato ma altrettanto rilevante riguarda i dividendi su conti non di custodia. La DAC8, infatti, include nello scambio automatico anche informazioni sui redditi derivanti da dividendi quando questi non sono intermediati da istituti finanziari tradizionali. Si pensi a situazioni in cui un azionista percepisce dividendi direttamente dalla società emittente, senza che questi transitino per conti bancari o depositi titoli “classici”.
La direttiva evidenzia come questi flussi siano spesso sfuggiti alle maglie dello scambio automatico previsto dalle precedenti versioni della DAC. Adesso, invece, anche queste somme entreranno nel perimetro delle comunicazioni obbligatorie. Le modalità operative sono ancora in via di definizione nei singoli Stati membri, ma il principio è chiaro: nessun reddito derivante da comunicazioni transfrontaliere può rimanere nell’ombra.
Il coordinamento con il regolamento MiCAR
Un tema che merita particolare attenzione è il coordinamento tra la DAC8 e il regolamento MiCAR (Markets in Crypto-Assets Regulation, UE 2023/1114). Il MiCAR disciplina l’accesso al mercato e l’esercizio delle attività dei fornitori di servizi per le cripto-attività, imponendo requisiti di autorizzazione, governance, tutela dei clienti. La DAC8, dal canto suo, si occupa degli obblighi di comunicazione fiscale.
Nella pratica applicativa, un operatore cripto che voglia operare nell’Unione europea dovrà rispettare contemporaneamente entrambi i corpi normativi. Dovrà ottenere l’autorizzazione prevista dal MiCAR e, al tempo stesso, adempiere agli obblighi di due diligence e reporting previsti dalla DAC8. Il decreto italiano di recepimento – ancora in bozza al momento in cui si scrive – dovrà coordinare queste due fonti normative, evitando duplicazioni inutili ma garantendo una copertura completa degli obblighi.
Sanzioni e compliance: cosa rischiano gli operatori
La direttiva prevede che gli Stati membri adottino un sistema di sanzioni effettive, proporzionate e dissuasive per chi non rispetta gli obblighi di comunicazione. Il legislatore italiano non ha ancora definito l’entità delle multe, ma è prevedibile che si allineerà agli standard già applicati in materia di scambio automatico di informazioni (ad esempio, quelli previsti per la DAC7 sulle piattaforme digitali).
Un fornitore di servizi cripto che ometta di registrarsi presso l’Agenzia delle Entrate, o che non comunichi nei termini le informazioni dovute, potrebbe incorrere in sanzioni amministrative significative. Oltre alle multe, vi è il rischio concreto di sanzioni accessorie: dalla sospensione dell’attività fino alla revoca dell’autorizzazione ad operare. Per questo motivo, gli operatori stanno già adeguando le proprie procedure interne, implementando sistemi di raccolta dati, automatizzando i flussi informativi verso le autorità fiscali.
Privacy e protezione dei dati personali
Un aspetto che solleva qualche interrogativo riguarda il bilanciamento tra trasparenza fiscale e tutela della riservatezza. La DAC8 comporta la raccolta e il trattamento di un volume enorme di dati personali: non solo informazioni anagrafiche, ma anche dettagli sulle abitudini di investimento, sui saldi dei wallet, sui movimenti di fondi. Tutto questo deve avvenire nel rispetto del GDPR (regolamento 2016/679).
Le autorità fiscali sono tenute a trattare e conservare i dati esclusivamente per finalità fiscali. Sono previsti sistemi di auditing e controllo sugli accessi non autorizzati. Tuttavia, resta aperto il dibattito su quanto questa mole di informazioni possa essere utilizzata anche per altre finalità (ad esempio, investigazioni penali o antiriciclaggio). Il decreto italiano di recepimento dovrà precisare questi aspetti, coordinandosi con le norme del Codice Privacy (d.lgs. 196/2003, come modificato dal d.lgs. 101/2018).
Tempistiche e scadenze operative
La tabella di marcia è serrata. Entro il 31 dicembre 2025 gli Stati membri devono adottare le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla direttiva. Dal 1° gennaio 2026 scattano gli obblighi di raccolta dati per i fornitori di servizi cripto e per le amministrazioni fiscali. Le prime comunicazioni dovranno essere inviate entro il 30 giugno 2027 (relativamente all’anno fiscale 2026). Il primo scambio automatico tra Stati membri avverrà entro il 30 settembre 2027.
Per i ruling fiscali preventivi, le tempistiche sono leggermente diverse: lo scambio automatico partirà con riferimento ai ruling emessi o modificati a partire dal 1° gennaio 2026. Anche in questo caso, la comunicazione tra amministrazioni fiscali dovrà avvenire entro 9 mesi dalla fine dell’anno di riferimento.
Il recepimento in Italia: stato dell’arte
Come accennato, il Consiglio dei Ministri ha approvato l’8 ottobre 2025 uno schema di decreto legislativo che recepisce la DAC8. Il testo (ancora in bozza e non pubblicato ufficialmente) introduce nel nostro ordinamento gli obblighi di comunicazione, adeguata verifica e scambio automatico di informazioni sulle cripto-attività. Si prevede l’istituzione di un registro nazionale dei fornitori di servizi cripto presso l’Agenzia delle Entrate, con modalità di iscrizione e requisiti ancora da definire nel dettaglio.
Il decreto coordina la DAC8 con altre normative già vigenti: il d.lgs. 231/2007 sull’antiriciclaggio, il d.lgs. 239/1996 sulla fiscalità dei redditi di capitale, le disposizioni del Testo Unico delle Imposte sui Redditi (d.P.R. 917/1986) in tema di redditi diversi. L’obiettivo è evitare sovrapposizioni e garantire che gli operatori non siano gravati da adempimenti ridondanti.
Un punto delicato riguarda la definizione di “cripto-attività” ai fini fiscali. Il decreto sembra recepire le definizioni del MiCAR, ma con alcuni aggiustamenti per tenere conto delle specificità tributarie. Si fa riferimento a rappresentazioni digitali di valore o diritti che possono essere trasferiti e memorizzati elettronicamente, utilizzando la tecnologia di registro distribuito o altra tecnologia simile. Restano escluse, però, alcune categorie (come le valute digitali delle banche centrali o gli strumenti finanziari già regolati da altre normative).
Impatti su investitori e contribuenti privati
Per chi investe in cripto-attività a titolo personale, la DAC8 comporta la fine dell’anonimato fiscale. Ogni transazione rilevante diventerà visibile all’Agenzia delle Entrate. Questo non significa necessariamente un aggravio fiscale automatico – chi già dichiarava correttamente i propri redditi da cripto non avrà problemi – ma certamente implica un aumento dei controlli e una maggiore difficoltà nell’omettere informazioni.
Si consideri un contribuente italiano che detiene bitcoin su un exchange estero. Finora, se l’exchange non comunicava spontaneamente i dati all’Italia, l’amministrazione finanziaria poteva venire a conoscenza della situazione solo tramite controlli mirati o segnalazioni. Con la DAC8, invece, l’exchange (se opera nell’Unione o ha clienti europei) sarà obbligato a comunicare le informazioni. E se l’exchange è extraeuropeo ma aderisce al CARF OCSE, lo scambio di dati avverrà comunque attraverso canali internazionali.
Un altro aspetto da non sottovalutare: la DAC8 si applica anche ai redditi derivanti da staking, lending, yield farming e altre forme di rendimento passive in cripto. Tutte queste operazioni genereranno obblighi di comunicazione in capo ai fornitori di servizi, con conseguente visibilità per il fisco.
Considerazioni finali e prospettive future
La direttiva DAC8 segna un passaggio fondamentale nella costruzione di un sistema fiscale europeo sempre più integrato e digitalizzato. L’ampliamento dello scambio automatico di informazioni fiscali alle cripto-attività risponde a esigenze di contrasto all’evasione e di equità tributaria che sono difficilmente contestabili. Tuttavia, come sempre accade con le grandi trasformazioni normative, sorgono anche interrogativi: fino a che punto è possibile spingere la trasparenza senza ledere la privacy dei contribuenti? Quali garanzie esistono contro abusi o utilizzi impropri dei dati raccolti?
La giurisprudenza europea e quella nazionale saranno chiamate, nei prossimi anni, a trovare un equilibrio. Nel frattempo, operatori e contribuenti farebbero bene ad adeguare le proprie strategie di compliance, dotandosi di strumenti informatici adeguati e di consulenza specializzata. Il tempo delle zone grigie sta per finire, e questo vale tanto per chi opera nei mercati cripto quanto per i grandi patrimoni che utilizzano ruling fiscali transfrontalieri.
