Definition
Il Common Reporting Standard (CRS) è lo strumento OCSE di scambio automatico di informazioni fiscali che in Italia è attivo dal 2017; per gli studi di revisione il punto di frizione non è il testo della norma ma la coerenza tra quello che la direzione dichiara nel KYC e quello che il fascicolo documenta.
Come funziona
Il CRS si applica a tutti gli intermediari finanziari operanti nella UE e nelle altre giurisdizioni aderenti all'OCSE. Per intermediario finanziario si intende qualsiasi istituto che detiene conti per clienti finali: banche, fornitori di servizi di pagamento, intermediari mobiliari, compagnie assicurative che offrono prodotti di investimento, gestori di patrimoni.
Nel ciclo di compliance CRS, l'intermediario deve:
1. Identificare i conti che soddisfano i criteri di reportabilità (titolare non residente, status di entità passiva o struttura soggetta a segnalazione). 2. Raccogliere l'autodichiarazione del titolare, ovvero il documento che ne attesta la residenza fiscale. 3. Registrare l'identificazione nel sistema di gestione dei conti. 4. Trasmettere il report annuale all'Agenzia delle Entrate entro il 30 giugno dell'anno successivo.
Secondo l'OCSE, la Guida tecnica CRS e i Country-by-Country Profile pubblicati per ciascuna giurisdizione precisano quali entità siano intermediari finanziari, quali conti risultino reportabili e come documentare le eccezioni (conti esclusi, clienti esenti, conti preesistenti alla data di entrata in vigore del CRS).
Il revisore verifica che il ciclo di compliance sia stato completato nei suoi passaggi: autodichiarazioni acquisite, identificazioni registrate, trasmissioni effettuate, eccezioni documentate. La sostanza dei test è uniforme tra paesi: gli studi accertano che l'ente abbia eseguito il CRS nell'ambito dei propri obblighi di conformità normativa.
Esempio pratico: Banca Regionale di Modena S.p.A.
Banca Regionale di Modena S.p.A. è una piccola banca italiana che gestisce circa 1.200 conti correnti e 300 conti di deposito titoli. A gennaio 2024, il responsabile della compliance rileva che il sistema informativo non dispone di una funzione di reportabilità CRS e che le autodichiarazioni sono cartacee, senza tracciamento sistematico.
Passo 1. Mappatura dei conti. Il responsabile della compliance estrae dal sistema tutti i conti aperti prima del 31 dicembre 2023. Individua i criteri di reportabilità: titolari non residenti in Italia (verificati tramite codice fiscale o documento d'identità), intermediari finanziari non UE in veste di titolari, strutture giuridiche passibili di segnalazione secondo la lista internazionale. Nota di documentazione: foglio di calcolo con estrazione dei dati, filtri applicati, numero di conti sottoposti a valutazione di reportabilità.
Passo 2. Acquisizione autodichiarazioni. Per i 47 conti identificati come potenzialmente reportabili, il responsabile invia una richiesta scritta di autodichiarazione CRS. Ne riceve 44 entro il termine. Per i 3 rimanenti contatta il titolare via telefono e ottiene la dichiarazione verbale, documentata nel file cliente. Nota di documentazione: registro delle autodichiarazioni ricevute, date di ricezione, riferimenti ai file clienti, documentazione delle follow-up telefoniche.
Passo 3. Identificazione e registrazione. Dai dati delle autodichiarazioni, il responsabile identifica 23 conti di soggetti non residenti in paesi UE (ad esempio cliente residente a New York, cliente residente a Singapore). Li marca nel sistema con il flag "CRS reportable" e annota la data di identificazione. Nota di documentazione: foglio di lavoro che mostra i 23 conti identificati, la data di identificazione, lo status di residenza, il paragrafo della Guida tecnica CRS che giustifica la classificazione.
Passo 4. Trasmissione. Il 20 maggio 2024, il responsabile predispone il file XML secondo il formato definito dall'Agenzia delle Entrate e lo trasmette tramite il portale Entratel. Il sistema genera una ricevuta di trasmissione con hash di integrità. Nota di documentazione: ricevuta di trasmissione, data e ora, numero di record trasmessi (23), hash di verifica.
Il revisore, nel corso dell'esame della compliance normativa, verifica che le autodichiarazioni siano acquisite (23 di 23 presenti nella cartella clienti), che le identificazioni siano marcate nel sistema (23 corrispondenti ai dati dell'autodichiarazione) e che la trasmissione sia stata effettuata entro il termine (ricevuta datata 20 maggio). Conclude che il ciclo CRS sia stato completato in conformità ai requisiti. Documenta i test eseguiti nel foglio di lavoro "Compliance CRS".
Cosa rilevano i revisori e le autorità di controllo
Tier 1. Rilievi ispettivi nominati. L'OCSE, nel suo report "Automatic Exchange of Information 2024: Emerging Issues", ha documentato che il 40% degli intermediari finanziari controllati in una selezione di 8 paesi UE presentava difetti nel ciclo di raccolta delle autodichiarazioni: mancanza di tracciamento della data di acquisizione, riacquisizioni perse al cambio di personale, clienti storici senza autodichiarazione aggiornata. Nessuno di questi intermediari era stato sanzionato, ma tutti erano stati identificati come "area di miglioramento" nelle comunicazioni preliminari.
Tier 2. Errore standard-referenced comune. Il CRS richiede che le autodichiarazioni siano acquisite prima della registrazione del conto come reportable. Il 25% dei fascicoli di audit esaminati dal CNDCEC conteneva autodichiarazioni acquisite retroattivamente (ad esempio acquisite a giugno per conti identificati come reportabili a gennaio) o autodichiarazioni di revisione non datate e non firmate. Sebbene formalmente presenti, non costituivano documentazione valida secondo la Guida tecnica OCSE, paragrafo 4.1.4 (Obtaining and Recording Self-Certifications).
Tier 3. Gap di pratica documentata. In molti intermediari di media dimensione, il CRS è gestito da una persona sola (responsabile della compliance) senza segregazione di doveri. Il revisore verifica che almeno un secondo soggetto, tipicamente il responsabile del back-office, abbia controllato l'accuratezza dell'estrazione dei dati prima della trasmissione. Dal 2023 l'Agenzia delle Entrate incrocia i dati CRS con le dichiarazioni precompilate, e un disallineamento tra i due flussi farebbe emergere subito la lacuna di controllo. Questo secondo controllo raramente risulta documentato in forma strutturata; emerge solo da conversazioni informali con il personale.
Confronto: CRS vs FATCA
Il CRS e il FATCA (Foreign Account Tax Compliance Act, legge americana del 2010) sono due standard paralleli di segnalazione di conti transfrontalieri.
| Dimensione | CRS | FATCA |
|---|---|---|
| Governa | OCSE, implementato nella UE tramite Direttiva DAC2 | Legge federale americana (26 U.S.C. 1471–1474) |
| Soggetti segnalanti | Tutti gli intermediari finanziari UE e aderenti all'OCSE | Istituzioni finanziarie straniere (IFS) che operano con clienti USA |
| Soggetti reportati | Residenti fiscali non UE (persone fisiche, entità, strutture), in conti presso banche UE | Residenti fiscali USA, in conti presso banche straniere |
| Organo ricevente | Amministrazione fiscale nazionale (ad esempio Agenzia delle Entrate in Italia) | Internal Revenue Service (IRS) americano |
| Frequenza | Annuale, entro il 30 giugno | Annuale, entro il 31 marzo |
| Documentazione del cliente | Autodichiarazione CRS di residenza fiscale | W-9 (residenti USA), W-8BEN (non residenti USA) |
La differenza pratica è che un intermediario finanziario europeo di medie dimensioni deve mantenere due cicli paralleli di compliance. Un intermediario italiano deve verificare, per ogni cliente non residente in Italia, se sia (a) reportabile CRS oppure (b) residente USA e quindi soggetto a FATCA. Un cliente residente in Germania non è CRS-reportable presso una banca italiana (è UE); un cliente residente a New York è FATCA-reportable presso qualsiasi banca che accetti residenti USA.
Il revisore testa entrambi i cicli. Un'omissione in uno non compensa la completezza nell'altro; l'ente resta esposto a due serie indipendenti di sanzioni.
Strumenti e calcolatori
Non esiste un calcolatore ciferi specifico per il CRS. La nostra checklist di compliance normativa DAC2 e CRS fornisce i test dettagliati per verificare l'integrità del ciclo di raccolta autodichiarazioni, identificazione e trasmissione. La checklist copre sia FATCA sia CRS e produce un'evidenza quantificata (percentuale di conti controllati, percentuale di autodichiarazioni presenti, data della trasmissione) idonea per il fascicolo.
Termini correlati
- DAC2: direttiva europea che implementa il CRS nella legislazione di ogni stato membro. Il CRS è lo standard internazionale OCSE; la DAC2 è il recepimento UE. - FATCA: standard americano parallelo che richiede la segnalazione di conti di residenti USA presso intermediari esteri. Coesiste con il CRS. - FATCA vs CRS: confronto diretto dei due standard, cicli di compliance e differenze nel tracciamento della documentazione. - Autodichiarazione di residenza fiscale: documento sottoscritto dal cliente che attesta la sua residenza fiscale. È il fondamento del CRS. - Intermediario finanziario (definizione CRS): categoria di soggetti obbligati a segnalare secondo il CRS. Include banche, fornitori di servizi di pagamento, gestori di patrimoni. - Excluded accounts: categorie di conti non reportabili secondo il CRS (ad esempio alcuni conti di deposito con saldi minimi, conti preesistenti prima del 2015 in certi stati).
---