Indice dei contenuti

1. Il quadro normativo: D.Lgs. 231/2007, 6AMLD, AMLR 2. Obblighi di adeguata verifica: cosa richiede davvero la norma 3. Procedura SOS: dalla scoperta alla piattaforma RADAR 4. Esempio pratico 5. Lista di controllo operativa 6. Errori comuni 7. Contenuti correlati

Il quadro normativo: D.Lgs. 231/2007, 6AMLD, AMLR

Delibera CNDCEC disciplinare, caso tipo documentato negli ultimi anni: revisore sanzionato per mancata SOS su cliente cash intensive. Il revisore aveva rilevato l'indicatore A.2 delle Nuove Regole Tecniche CNDCEC 2019 (operazioni in contanti frequenti sopra soglia). Non aveva compilato. L'art. 35 del D.Lgs. 231/2007 richiede che il soggetto obbligato segnali la SOS "senza ritardo" (e comunque prima di eseguire l'operazione, quando possibile) non appena si formi il sospetto. Il revisore sostenne che il cliente operava nel settore ristorazione e che i contanti erano fisiologici.

Cosa succede davvero: nella pratica, il settore non giustifica la mancata valutazione dell'indicatore. Giustifica semmai una documentazione piu approfondita della ragione per cui l'indicatore non si traduce in sospetto. Differenza enorme in sede disciplinare.

Dalla III alla VI direttiva: cosa e cambiato per il revisore

Il D.Lgs. 231/2007 ha recepito la III Direttiva. Il D.Lgs. 90/2017 ha recepito la IV (AMLD IV) e introdotto il registro dei titolari effettivi. Il D.Lgs. 125/2019 ha recepito la V (AMLD V). La Sesta Direttiva Antiriciclaggio (6AMLD, UE 2018/1673) si e concentrata sul piano penale, armonizzando i reati-presupposto del riciclaggio in tutta l'Unione.

Poi e arrivato il pacchetto 2024. Il Regolamento UE 2024/1624 (AMLR) e la Direttiva UE 2024/1640 sostituiranno in buona parte l'attuale impianto frammentario. Il regolamento (non la direttiva) e direttamente applicabile: non richiede recepimento. Decorrenza operativa: 10 luglio 2027 per la gran parte delle disposizioni applicabili ai soggetti obbligati. La nuova Autorità europea AML (AMLA), con sede a Francoforte, diventa operativa tra il 2025 e il 2026 e coordinera le UIF nazionali a livello europeo.

Secondo l'AMLR art. 3, il revisore legale rientra tra i soggetti obbligati. Non cambia rispetto all'assetto attuale italiano. Cambia il dettaglio di alcuni obblighi di Customer Due Diligence (CDD), l'approccio ai beneficial owner, e il regime sanzionatorio.

Ambito oggettivo: quando scattano gli obblighi AML sul revisore

Si applica l'art. 3, comma 4, lettera d) e l'art. 3, comma 5 del D.Lgs. 231/2007. Il revisore legale e soggetto obbligato. Il confine pratico pero non e banale.

Tutti gli incarichi di revisione legale (ex D.Lgs. 39/2010) sono coperti dagli obblighi AML del D.Lgs. 231/2007. La revisione ai sensi dell'art. 14 del D.Lgs. 39/2010, quella volontaria, e quella limitata: tutte dentro. Il revisore deve fare adeguata verifica del cliente, conservare la documentazione, segnalare operazioni sospette.

Dove il confine diventa delicato: il revisore che presta anche consulenza fiscale, societaria, due diligence. Qui si sommano obblighi AML diversi sugli stessi dati del cliente. La Circolare CNDCEC chiarisce che il fascicolo AML puo essere unico, purche tracci la fonte dell'obbligo per ciascun servizio.

Sistema duale: revisore legale vs collegio sindacale

In Italia gli obblighi AML insistono su due soggetti che possono (spesso devono) coesistere nella stessa società. Il revisore legale e soggetto obbligato in via autonoma ai sensi del D.Lgs. 231/2007. Il collegio sindacale e soggetto obbligato solo quando gli e affidata anche la revisione legale (incarico ai sensi dell'art. 2409-bis C.C. nelle SRL sotto soglia, o quando la legge lo consente).

Cosa succede davvero: se il collegio sindacale esercita il mero controllo di legittimità ex art. 2403 C.C. senza revisione, non e tenuto a SOS, ma e tenuto a vigilare sull'adeguatezza del sistema AML della societa (se la societa stessa e soggetto obbligato). Il revisore legale invece e soggetto obbligato pieno, sempre. Non sono due binari paralleli: sono due ruoli con scope diversi, entrambi disciplinati dal D.Lgs. 231/2007 con raccordo al D.Lgs. 39/2010.

Segreto professionale: l'art. 52 e il bilanciamento

Art. 52 D.Lgs. 231/2007: l'obbligo di SOS prevale sul segreto professionale. Punto.

Pero il bilanciamento e meno automatico di quanto la lettura superficiale suggerisca. Il revisore non e l'organo investigativo. Ma l'art. 35 lo obbliga a comunicare alla UIF ogni operazione per la quale sa, sospetta, o ha motivi ragionevoli per sospettare che siano in corso o siano state compiute operazioni di riciclaggio o finanziamento del terrorismo. L'obbligo scatta sul sospetto, non sulla certezza. La soglia e bassa. Il segreto non si puo invocare per coprirla.

Obblighi di adeguata verifica: cosa richiede davvero la norma

Secondo rilievi ricorrenti in sede disciplinare CNDCEC, le carenze principali non riguardano la SOS mancata (quella e la fase finale), ma l'adeguata verifica fatta male in fase di accettazione. Le carte sono leggere gia all'ingresso del cliente.

CDD standard: i quattro passaggi dell'art. 18

L'art. 18 del D.Lgs. 231/2007 richiede al revisore di:

1. Identificare il cliente e verificare l'identità su documento probativo non falsificabile. 2. Identificare il titolare effettivo (beneficial owner) secondo i criteri dell'art. 20. La soglia rilevante resta il 25% del capitale o dei diritti di voto, oppure altra forma di controllo. 3. Acquisire informazioni sulla natura e sullo scopo del rapporto professionale. 4. Svolgere controllo costante nel corso del rapporto, coerente con il profilo di rischio.

Nei casi in cui il revisore nutra anche il minimo dubbio sull'identificazione del titolare effettivo su una struttura societaria estera articolata, si potrebbero attivare le misure rafforzate (Enhanced Due Diligence, EDD) dell'art. 24, anche se nessuno degli indicatori nominati nell'allegato tecnico e formalmente attivato. Il giudizio professionale qui pesa.

EDD: quando scatta la verifica rafforzata

L'art. 24 prevede misure rafforzate per clienti non fisicamente presenti, operazioni con controparti in paesi terzi ad alto rischio (lista UE periodicamente aggiornata), e persone politicamente esposte (PEP).

Secondo la prassi CNDCEC, la EDD non e un banale surplus documentale. Richiede: - Verifica della fonte di ricchezza (patrimonio complessivo) - Verifica della fonte dei fondi (la specifica provvista dell'operazione) - Approvazione dell'incarico a livello piu alto dello studio (non il senior che ha fatto l'accettazione) - Monitoraggio rafforzato durante il rapporto

Cosa succede davvero: negli studi di media dimensione la EDD si risolve spesso in una relazione di piu pagine allegata al fascicolo. Rigoroso. Troppo rigoroso? Forse. Ma in sede di controllo CNDCEC o, peggio, di Bollettino CONSOB (per revisori di EIP), il fascicolo che non distingue CDD da EDD sembra esattamente quello descritto dalle sanzioni: privo di presidio.

Conservazione: 10 anni, non 5

Art. 31 del D.Lgs. 231/2007: la documentazione acquisita in sede di adeguata verifica si conserva per dieci anni dalla cessazione del rapporto. Copie dei documenti di identificazione, informazioni sul titolare effettivo, registrazioni delle operazioni rilevanti, ricevute delle SOS eventualmente inviate.

Noi nella pratica separiamo il fascicolo AML dal fascicolo di revisione, anche quando il cliente e lo stesso. Ragione: la UIF o la Guardia di Finanza possono chiedere il fascicolo AML senza dover accedere alle carte di revisione contabile, e viceversa. Riduce frizione operativa in sede ispettiva.

Procedura SOS: dalla scoperta alla piattaforma RADAR

Cosa configura un'operazione sospetta

L'art. 35 del D.Lgs. 231/2007 definisce l'operazione sospetta in termini ampi: il soggetto obbligato sa, sospetta, o ha motivi ragionevoli per sospettare che siano in corso o siano state compiute operazioni di riciclaggio o di finanziamento del terrorismo. La soglia e il sospetto ragionevole, non la prova.

Le Nuove Regole Tecniche CNDCEC 2019 forniscono l'elenco degli indicatori di anomalia applicabili ai professionisti. Indicatori tipici che emergono in sede di revisione: - Transazioni incongruenti con l'oggetto sociale dichiarato - Operazioni frazionate sotto soglia senza giustificazione economica - Pagamenti verso o da paesi ad alto rischio non coerenti con l'attività - Modifiche societarie ricorrenti (cambio compagine, sede, oggetto) senza logica operativa

Si consideri che l'indicatore, di per se, non configura automaticamente la SOS. Richiede la valutazione del revisore. E qui comincia il ragionamento professionale.

Il giudizio: dove il Partner A e il Partner B divergono

Caso concreto di disaccordo legittimo. Cliente manifatturiero, esportazioni verso Estonia per 16% del fatturato. Nessun contratto strutturato, bolle di trasporto rade, pagamenti in contanti tramite money transfer. Due partner dello stesso studio valutano diversamente.

Partner A (SOS immediata): "La combinazione di pagamenti in contanti su flussi B2B transfrontalieri, documentazione di trasporto insufficiente, e controparte in giurisdizione a rischio moderato integra almeno due indicatori delle Regole Tecniche. La soglia per la SOS e il sospetto ragionevole. Si segnala adesso. Se poi la UIF archivia, abbiamo adempiuto."

Partner B (documentare e attendere): "Prima si chiede alla direzione documentazione aggiuntiva sui rapporti con le controparti estone. Se la risposta e ragionevole, documento l'approfondimento e non segnalo. Se e reticente o contraddittoria, allora segnalo. SOS premature senza approfondimento ragionevole rischiano di compromettere la credibilità del revisore presso la UIF su incarichi futuri."

Chi ha ragione? Entrambi, entro certi limiti. La giurisprudenza disciplinare CNDCEC tende a premiare chi segnala prima e documenta bene, non chi approfondisce e rinvia. Pero il Partner B ha un punto: la SOS e un atto serio, non un riflesso.

Noi propendiamo per la posizione di Partner A con una variante: l'approfondimento va fatto, ma in parallelo alla preparazione della SOS, non in sostituzione. Se in tre giorni l'approfondimento chiarisce la situazione, la SOS non si invia. Se non la chiarisce, la SOS e pronta.

Modalità di invio: RADAR-UIF

La SOS si invia tramite la piattaforma telematica Infostat-UIF (che ha sostituito in gran parte il vecchio RADAR) della Banca d'Italia. Senza ritardo dal momento in cui si forma il sospetto. Modulo standardizzato con: - Anagrafica del cliente (persona fisica, persona giuridica, titolare effettivo) - Descrizione dell'operazione sospetta (data, importo, controparti, modalità) - Indicatori CNDCEC applicati - Motivazione del sospetto in forma narrativa

Cosa succede davvero: il primo invio richiede ore. Dal secondo in poi, quaranta minuti. La UIF non risponde. Il silenzio non significa archiviazione: significa che il flusso informativo prosegue verso Guardia di Finanza e, eventualmente, autorità giudiziaria, senza che il segnalante ne sia informato.

Divieto di disclosure: l'art. 39

Art. 39 D.Lgs. 231/2007: vietato comunicare al cliente, a terzi o a chiunque altro l'avvenuto invio di una SOS, o la circostanza che un'indagine antiriciclaggio sia in corso. La violazione configura reato (reclusione fino a un anno, multa fino a 10.000 euro).

Il secondo fronte: il cliente che chiede spiegazioni perche "ha saputo" di un controllo. Il revisore puo ritirare l'incarico. Non puo spiegare perche.

Esempio pratico: Adriatico Logistics

Società: Adriatico Logistics S.r.l. Sede a Bari. Fatturato 2024 EUR 8,5 milioni. 25 dipendenti. Revisione volontaria ai sensi dell'art. 2409-bis C.C. (SRL sotto soglia che ha scelto il revisore singolo iscritto al Registro MEF).

Scenario: Durante la revisione del bilancio 2024, il revisore rileva elementi che richiedono valutazione ai fini della SOS.

identificazione delle operazioni anomale

Nel conto economico, ricavi per servizi di trasporto verso tre società estere: - Baltic Shipping Ltd (Estonia): EUR 450.000 - Nordic Transport OU (Estonia): EUR 380.000 - Eastern Logistics SIA (Lettonia): EUR 520.000

Totale: EUR 1.350.000. Il 16% del fatturato annuo.

Nota di documentazione: registrare nella carta di lavoro AML-01 l'elenco delle controparti estere con importo, frequenza delle transazioni, e data di primo rapporto.

verifica della sostanza economica

Il revisore chiede alla direzione la documentazione a supporto. Riceve: - Tre contratti quadro generici (servizi di trasporto internazionale), stessa data, stesso formato - Bolle di trasporto: 3 documenti complessivi per EUR 1.350.000 di ricavi - Movimentazioni bancarie: pagamenti ricevuti prevalentemente in contanti tramite money transfer, non bonifici SEPA

Il revisore attiva la verifica rafforzata ai sensi dell'art. 24. La direzione fornisce una narrazione commerciale: "Cliente fidato, storicamente paga cosi per ragioni operative baltiche." Il revisore non la considera risolutiva.

Nota di documentazione: allegare alla carta AML-01 il confronto tra ricavi dichiarati e documenti di trasporto effettivi. Documentare in carta AML-02 la richiesta di approfondimento alla direzione e la valutazione della risposta.

complicazione del giudizio

Qui interviene la variante che nei casi reali cambia la valutazione. Il CFO fornisce in secondo momento una nota: Baltic Shipping Ltd e controllata al 100% da una holding cipriota che, secondo il registro maltese dei titolari effettivi, ha come beneficial owner un soggetto non italiano non PEP, ma residente in giurisdizione inclusa nella lista UE dei paesi ad alto rischio (ante-aggiornamento 2025). Inoltre, il CFO riferisce che la controparte cambia conto corrente di accredito ogni due mesi.

Il revisore si trova con: - Indicatore A.2 Regole Tecniche (pagamenti in contanti): attivato - Indicatore A.9 (operazioni con paesi ad alto rischio non coerenti con attività dichiarata): attivato, con rafforzamento dovuto alla struttura cipriota-maltese - Indicatore B.3 (frequenti variazioni delle modalità di pagamento): attivato

Tre indicatori. La soglia del sospetto ragionevole si considera superata.

Nota di documentazione: carta AML-02 deve riportare l'applicazione di ciascun indicatore alla fattispecie, non limitarsi a elencarli.

preparazione e invio SOS

Il revisore procede all'invio tramite Infostat-UIF. Anagrafica completa della Adriatico Logistics S.r.l. Dettaglio delle operazioni sospette. Documentazione a supporto (estratti conto, contratti, registro titolari effettivi). Motivazione narrativa che argomenta il sospetto sulla base degli indicatori applicati.

Tempo dall'identificazione al sospetto all'invio: sette giorni lavorativi (inclusi l'approfondimento con la direzione e il consulto informale con il responsabile AML dello studio).

Nota di documentazione: conservare ricevuta Infostat in carta AML-03. Non comunicare al cliente. Preparare la lettera di eventuale dimissione dall'incarico, da valutare secondo gli sviluppi.

Chiusura: cosa resta nel fascicolo

Il fascicolo documenta l'adempimento. Tre carte di lavoro AML (identificazione, valutazione, segnalazione) con cross-reference al fascicolo di revisione contabile solo per le aree dove il rilievo AML ha avuto impatto sul giudizio di bilancio. Il resto del fascicolo di revisione resta riservato: il segreto professionale cede solo per cio che attiene la SOS.

Lista di controllo operativa

1. Svolgere CDD documentata prima dell'accettazione, inclusa l'identificazione del titolare effettivo secondo l'art. 20 del D.Lgs. 231/2007 e la verifica sul registro dei titolari effettivi. Se la struttura e estera o articolata, valutare EDD ai sensi dell'art. 24.

2. Applicare gli indicatori delle Nuove Regole Tecniche CNDCEC 2019 durante la revisione, non solo in fase di accettazione. Monitoraggio continuo, non una tantum.

3. Documentare la valutazione AML in carte dedicate (AML-01 identificazione, AML-02 valutazione indicatori, AML-03 eventuale SOS). Cross-reference al fascicolo di revisione solo dove il rilievo AML tocca il giudizio di bilancio.

4. Inviare la SOS senza ritardo tramite Infostat-UIF quando si forma il sospetto ragionevole. La soglia e bassa. L'approfondimento si fa in parallelo, non in sostituzione.

5. Conservare la documentazione per 10 anni dalla cessazione del rapporto (art. 31 D.Lgs. 231/2007). Fascicolo AML separato dal fascicolo di revisione.

6. Verificare l'adeguatezza del sistema AML aziendale del cliente come parte della comprensione del controllo interno ai sensi degli ISA Italia 315. Carenze significative nel sistema AML del cliente possono essere rischio significativo di errore.

Errori comuni

Contenuti correlati

- Glossario: Adeguata verifica della clientela - Le procedure di identificazione e verifica secondo D.Lgs. 231/2007 artt. 17-24.

- Strumento: Checklist identificazione titolare effettivo - Lista di controllo per l'identificazione del beneficial owner nelle diverse tipologie societarie, incluso il registro RTE.

- Articolo: ISA Italia 315 e valutazione del controllo interno - Come integrare la valutazione del sistema AML aziendale nella comprensione dell'entità.

---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.