Antiriciclaggio, dalla valutazione del rischio alla gestione del fascicolo cliente

1. In sintesi

L’evoluzione degli obblighi antiriciclaggio applicabili ai professionisti non deve comportare un incremento degli adempimenti formali, ma piuttosto muoversi nella direzione di una crescente responsabilizzazione del giudizio professionale.

È in questo contesto che si colloca l’intervento del Consiglio nazionale dei dottori commercialisti e degli esperti contabili che, con l’Informativa n. 57/2026 dello scorso 26 marzo, ha diffuso una nuova modulistica operativa accompagnata da specifiche indicazioni per la compilazione.

L’obiettivo non è, né potrebbe essere, quello di introdurre nuovi obblighi, ma solo di fornire strumenti concreti per rendere tracciabile e coerente il percorso valutativo richiesto dal Dlgs 231/2007.

La logica è chiara: non conta il modello in sé, ma la capacità del fascicolo di restituire, anche a distanza di tempo, le ragioni delle scelte effettuate dal professionista. Ne deriva un cambiamento di prospettiva rilevante nella prassi: la compliance antiriciclaggio non può più essere gestita come un insieme di adempimenti standardizzati, ma deve essere organizzata come un sistema strutturato di valutazioni, documentate e coerenti tra loro.

Le indicazioni operative del Cndcec ribadiscono un principio che permea l’intera disciplina, quello dell’approccio basato sul rischio.

Il professionista è chiamato a valutare, caso per caso, il grado di esposizione a fenomeni di riciclaggio o finanziamento del terrorismo, evitando automatismi e presunzioni generalizzate.

Questo principio si riflette in tutte le fasi dell’attività: dall’autovalutazione dello studio all’adeguata verifica della clientela, fino alla conservazione dei dati.

In ciascuna di esse, il dato decisivo non è la compilazione formale della modulistica, ma la coerenza del ragionamento sottostante.

Le indicazioni operative e la modulistica sono disponibili online.

Le novità più interessanti sono tre:

La nuova modulistica Cndcec rappresenta un valido strumento di ausilio perché trasforma principi normativi e regole tecniche in una prassi documentale concreta, ordinata e replicabile.

Per i commercialisti è una guida immediatamente spendibile nello studio; per gli altri professionisti obbligati è un utile benchmark metodologico: non tanto un formulario da copiare, quanto un modello di come l’autoregolamentazione possa tradursi in organizzazione, prova dell’adempimento e qualità della valutazione del rischio.

2. Come impostare correttamente l’autovalutazione del rischio dello studio

Il primo passaggio operativo riguarda l’autovalutazione del rischio dello studio, disciplinata dagli articoli 15, 16 e 16-ter Dlgs 231/2007 e attuabile attraverso il modello AV.0, fornito dal Cndcec, ma anche utilizzando qualsiasi altro format redatto nel rispetto della norma primaria e delle regole tecniche.

L’adempimento in esame, spesso sottovalutato nella prassi, assume un ruolo centrale in quanto consente di misurare il rischio che lo studio non sia in grado di intercettare fenomeni di riciclaggio e di finanziamento del terrorismo nell’esercizio dell’attività professionale.

A tale funzione si è recentemente aggiunta, per effetto delle modifiche introdotte dal Dl 95/2025, convertito con modificazioni dalla legge 118/2025, anche la valutazione del rischio connesso al finanziamento della proliferazione delle armi di distruzione di massa.

Il decreto antiriciclaggio, come emendato, ha infatti esteso espressamente l’ambito applicativo degli obblighi prevenzionistici a tale ulteriore fenomenologia, prevedendo all’articolo 16-ter che la relativa autovalutazione del rischio possa essere integrata in quella già redatta ai sensi dell’articolo 16.

Ne consegue che il modello AV.0 messo a disposizione dal Consiglio nazionale risulta idoneo a ricomprendere, in un’unica analisi strutturata, anche il rischio di finanziamento della proliferazione, senza necessità di strumenti separati.

Si tratta di un passaggio non meramente formale: l’ampliamento dell’oggetto dell’autovalutazione proietta l’attività del professionista su un perimetro di rischio più ampio, nel quale assumono rilievo anche dinamiche internazionali e geopolitiche, imponendo un approccio ancora più consapevole e strutturato nella valutazione della clientela e delle operazioni.

Dal punto di vista metodologico, il modello si fonda su una logica ponderata: il rischio residuo deriva dalla combinazione del rischio inerente (peso 40%) e della vulnerabilità dello studio (peso 60%).

Per rischio inerente deve intendersi il livello di esposizione “potenziale” dello studio al rischio di riciclaggio, finanziamento del terrorismo e, alla luce delle recenti modifiche normative, anche della proliferazione delle armi di distruzione di massa, in ragione delle caratteristiche oggettive dell’attività svolta.

Esso è quindi funzione, in via principale, della tipologia di clientela, dell’area geografica di operatività, delle modalità di erogazione delle prestazioni (canali distributivi) e della natura dei servizi offerti.

La vulnerabilità, invece, misura il grado di efficacia dei presidi organizzativi adottati dallo studio nel prevenire o intercettare tali fenomeni. Non riguarda quindi il “contesto esterno”, ma la capacità interna dello studio di governarlo.

In quest’ottica, assumono rilievo la formazione del professionista e dei collaboratori, la strutturazione delle procedure di adeguata verifica, l’organizzazione dei sistemi di conservazione dei dati e l’esistenza di procedure formalizzate per la rilevazione e gestione delle operazioni sospette.

Il rischio residuo rappresenta il risultato della combinazione di queste due componenti: in altri termini, esprime il livello di rischio che permane dopo aver considerato l’efficacia dei presidi organizzativi adottati. La scelta di attribuire un peso maggiore alla vulnerabilità (60%) segnala chiaramente che, nell’impostazione del Cndcec, l’organizzazione interna dello studio costituisce il principale fattore di contenimento del rischio.

Operativamente, il professionista è chiamato ad attribuire a ciascun fattore un punteggio su scala da 1 a 4 (non significativo, poco significativo, abbastanza significativo, molto significativo), determinando dapprima il rischio inerente - mediante media dei fattori rilevanti - e successivamente la vulnerabilità, anch’essa calcolata come media dei presidi esaminati.

I valori così ottenuti vengono poi ponderati secondo le percentuali indicate, al fine di pervenire alla determinazione del rischio residuo.

Proprio in funzione del livello di rischio residuo individuato assumono rilievo i presidi di mitigazione, ossia l’insieme delle misure organizzative e procedurali che lo studio è chiamato a implementare o rafforzare per ridurre l’esposizione al rischio.

Tali presidi trovano applicazione, in particolare, nei casi in cui il rischio residuo sia qualificato come “abbastanza significativo” o “molto significativo”, imponendo al professionista non solo di individuare le criticità, ma anche di pianificare interventi correttivi concreti, nel rispetto del principio di proporzionalità e al ricorrere dei presupposti individuati nella regola tecnica n. 1: dalla formazione mirata del personale all’implementazione di controlli interni (individuazione della funzione antiriciclaggio e del suo responsabile, nomina del revisore indipendente).

In tal senso, i presidi di mitigazione non costituiscono un adempimento autonomo, ma rappresentano la naturale conseguenza dell’autovalutazione del rischio. Essi coincidono, sostanzialmente, con il rafforzamento dei presidi organizzativi già oggetto di valutazione in sede di analisi della vulnerabilità e trovano applicazione ogniqualvolta il rischio residuo evidenzi criticità.

Ne deriva che la vera funzione del modello AV.0 non è quella di “misurare” il rischio in senso statico, ma di attivare un processo di miglioramento continuo dell’organizzazione dello studio, nel quale la mitigazione si realizza attraverso interventi concreti su formazione, controlli e sistemi di tracciabilità.

L’autovalutazione deve essere aggiornata ogni volta che si verifichino cambiamenti significativi nei parametri considerati e, in ogni caso, entro un anno dalla pubblicazione dell’aggiornamento dell’Analisi nazionale dei rischi.

Le indicazioni operative precisano che, alla data del documento, l’ultima analisi nazionale dei rischi di riciclaggio e di finanziamento del terrorismo, insieme alla prima analisi nazionale dei rischi di finanziamento della proliferazione, è stata pubblicata il 27 maggio 2025; ne deriva l’obbligo di aggiornamento entro il 27 maggio 2026.

L’adempimento spetta direttamente al professionista e non può essere delegato. Negli studi associati e nelle Stp, qualora si scelga un’autovalutazione “centralizzata”, il relativo documento deve essere sottoscritto dal legale rappresentante dell’associazione professionale o della Stp.

3. Adeguata verifica della clientela e valutazione del rischio effettivo

L’adeguata verifica della clientela rappresenta il momento centrale dell’intero sistema antiriciclaggio e trova applicazione in un ambito operativo ampio, che il professionista deve presidiare con attenzione già nella fase di conferimento dell’incarico.

In particolare, essa deve essere posta in essere non solo con riferimento alle prestazioni professionali continuative, ma anche in relazione alle prestazioni occasionali – ivi incluse quelle ad esecuzione istantanea – che comportino la movimentazione o la trasmissione di mezzi di pagamento o il compimento di atti negoziali a contenuto patrimoniale per importi pari o superiori a 15.000 euro, nonché per tutte le prestazioni a contenuto economico-patrimoniale per le quali non sia identificabile il valore dell’oggetto.

In tale ambito, un chiarimento di rilievo operativo è che il parametro di riferimento è costituito dal valore dell’operazione o della prestazione (e non dal compenso professionale).

Sotto il profilo contenutistico, l’adempimento si articola nelle seguenti attività fondamentali:

Tali attività devono essere svolte personalmente dal professionista, non essendo delegabili se non per gli aspetti meramente amministrativi connessi alla raccolta e conservazione documentale, nel rispetto degli obblighi di riservatezza e della disciplina privacy.

Dal punto di vista operativo, le attività di identificazione e verifica devono essere effettuate prima dell’instaurazione del rapporto, pur potendosi completare, in coerenza con quanto previsto dall’articolo 32 del decreto antiriciclaggio, entro 30 giorni dal conferimento dell’incarico.

4. Come valutare il rischio cliente-prestazione

È in questo contesto che si inserisce il modello AV.1, strumento operativo per la determinazione del rischio effettivo del cliente e della prestazione professionale (articolo 17, comma 3, Dlgs 231/2007 e regola tecnica n. 2).

Il modello consente di tradurre in una valutazione strutturata l’analisi del caso concreto, chiarendo preliminarmente l’ambito applicativo dell’adeguata verifica e rendendo esplicito il percorso logico seguito dal professionista.

La metodologia di calcolo del rischio effettivo costituisce uno degli aspetti di maggiore interesse tecnico: il rischio inerente, legato alla tipologia della prestazione, è ponderato al 30%, mentre il rischio specifico, riferito alle caratteristiche del cliente e dell’operazione, incide per il 70%.

Tale ponderazione evidenzia come, secondo il modello delineato dal Cndcec, il giudizio non possa essere fondato esclusivamente su classificazioni astratte delle prestazioni, ma debba valorizzare in modo prevalente la valutazione individualizzata della fattispecie concreta.

Il rischio inerente è determinato sulla base delle Tabelle della regola tecnica n. 2, che attribuiscono alle diverse prestazioni professionali un livello di rischio tipologico. Tuttavia, tale classificazione costituisce solo il punto di partenza dell’analisi, poiché la reale intensità del presidio da attivare dipende in misura significativa dal contesto specifico in cui la prestazione si inserisce.

È proprio attraverso la valutazione del rischio specifico che il modello AV.1 consente di cogliere tali elementi.

Esso si articola in due dimensioni:

Sul versante del cliente assumono rilievo, tra gli altri, la natura giuridica e la struttura organizzativa, l’eventuale presenza di persone politicamente esposte o di assetti complessi, l’attività concretamente esercitata e la sua coerenza con le dimensioni dichiarate, il comportamento tenuto in sede di conferimento dell’incarico e l’area geografica di riferimento.

Sul versante della prestazione, invece, vengono considerati la tipologia e le modalità di svolgimento, l’ammontare e la coerenza economico-finanziaria, la frequenza e il volume delle operazioni, nonché la ragionevolezza complessiva rispetto al profilo del cliente e l’eventuale coinvolgimento di aree geografiche a rischio.

Il professionista è chiamato ad attribuire a ciascuno di questi elementi un punteggio sulla consueta scala da 1 a 4, potendo altresì integrare la valutazione con osservazioni qualitative. Il risultato che ne deriva consente di determinare il rischio specifico e, attraverso la ponderazione con il rischio inerente, il rischio effettivo complessivo.

Sotto questo aspetto, il modello AV.1 non si limita a fornire un risultato numerico, ma rappresenta uno strumento di formalizzazione del giudizio professionale: è attraverso la coerenza tra i dati raccolti, le valutazioni effettuate e il livello di rischio attribuito che il fascicolo antiriciclaggio acquista reale valore informativo.

5. Dalla valutazione alla scelta del tipo di adeguata verifica

Una volta determinato il rischio effettivo, il modello AV.1 consente di compiere il passaggio operativo più rilevante: l’associazione del cliente alla tipologia di adeguata verifica da applicare.

È in questa fase che la valutazione del rischio si traduce in comportamenti concreti, incidendo direttamente sull’intensità dei controlli che il professionista è tenuto ad attivare.

Il sistema delineato dal Cndcec si fonda su una corrispondenza graduata tra livello di rischio e misura di verifica.

In particolare, nei casi in cui il rischio effettivo sia qualificato come non significativo e rientri nelle casistiche previste dalla Tabella 1 della regola tecnica n. 2, l’adempimento può ritenersi assolto mediante l’applicazione della relativa regola di condotta; negli altri casi di rischio non significativo trova applicazione l’adeguata verifica semplificata.

Per i clienti a rischio poco significativo si applica comunque la verifica semplificata, mentre al rischio abbastanza significativo corrisponde l’adeguata verifica ordinaria e, infine, al rischio molto significativo quella rafforzata.

La classificazione non ha solo una funzione descrittiva, ma determina anche la profondità e la frequenza dei controlli nel tempo.

Alla tipologia di adeguata verifica è infatti collegata la periodicità del controllo costante: triennale (36 mesi) nei casi di verifica semplificata, biennale (24 mesi) per quella ordinaria e più ravvicinata - annuale o semestrale - nei casi di verifica rafforzata.

In tale ottica, il collegamento tra rischio effettivo e adeguata verifica assume una valenza sostanziale: non si tratta di un automatismo applicativo, ma di una traduzione coerente del giudizio professionale in un sistema di presidi proporzionati.

È proprio la coerenza tra livello di rischio individuato e intensità delle misure adottate a costituire uno degli elementi principali di valutazione in sede di controllo.

Resta fermo, peraltro, che in presenza di specifiche condizioni - quali la qualifica di persona politicamente esposta o il coinvolgimento di Paesi terzi ad alto rischio - la normativa impone comunque l’applicazione dell’adeguata verifica rafforzata, indipendentemente dall’esito della valutazione effettuata attraverso il modello.

6. La modulistica per la tracciabilità degli adempimenti

La modulistica proposta dal Cndcec consente di strutturare il fascicolo cliente in modo organico, superando definitivamente la logica dell’archivio statico a favore di un sistema documentale coerente e aggiornabile nel tempo, con una logica di tracciabilità crescente.

Al centro di tale sistema si colloca il modello AV.4 – Dichiarazione del cliente ex articolo 22 Dlgs 231/2007, che rappresenta il vero punto di avvio dell’adeguata verifica.

Le indicazioni operative ne sottolineano espressamente il carattere essenziale, precisando che esso deve essere sempre presente nel fascicolo, salvo i casi in cui l’adempimento sia assolto mediante le regole di condotta previste dalla Tabella 1 (“prestazioni a rischio inerente non significativo”) della regola tecnica n. 2.

Il modello AV.4 raccoglie, in forma dichiarativa, un insieme articolato di informazioni fondamentali: lo scopo e la natura della prestazione, l’eventuale qualifica di persona politicamente esposta, l’individuazione del titolare effettivo e i rapporti tra cliente, esecutore e titolare effettivo, il profilo economico-patrimoniale e la provenienza dei fondi, i mezzi di pagamento utilizzati, nonché l’assenza di collegamenti con attività criminose o con il finanziamento del terrorismo e della proliferazione.

In termini operativi, esso costituisce il baricentro informativo del fascicolo antiriciclaggio, in quanto consente di trasferire sul cliente una parte rilevante dell’onere dichiarativo, mantenendo al contempo in capo al professionista la responsabilità della valutazione complessiva.

Accanto a questo documento centrale, la modulistica prevede una serie di strumenti con funzione prevalentemente organizzativa.

Il modello AV.2 – documento riepilogativo dei dati, delle informazioni e dei documenti acquisiti – è espressamente qualificato come facoltativo, ma il suo utilizzo può risultare particolarmente utile sotto il profilo archivistico, in quanto consente di concentrare in un unico documento le informazioni rilevanti e di garantire la storicizzazione delle stesse.

Analoga funzione svolge il modello AV.3 – istruttoria cliente, anch’esso non obbligatorio, che permette di tracciare in modo ordinato e progressivo le attività di adeguata verifica svolte nel tempo.

Di rilievo sono anche i modelli destinati alla gestione di specifiche situazioni operative. Il modello AV.5 è funzionale a documentare i casi in cui il professionista intenda avvalersi dell’adeguata verifica della clientela già svolta da un altro soggetto obbligato, nei limiti e alle condizioni previste dagli articoli 26-30 del decreto antiriciclaggio.

Il modello AV.6, invece, documenta l’astensione ai sensi dell’articolo 42, offrendo uno schema minimo per motivare l’impossibilità di completare l’adeguata verifica e la conseguente mancata instaurazione o interruzione del rapporto professionale.

Particolarmente significativa è, infine, la funzione del modello AV.7, dedicato al controllo costante, che evidenzia la natura dinamica della compliance antiriciclaggio.

Attraverso tale strumento si realizza l’aggiornamento nel tempo delle informazioni acquisite, mediante la verifica di eventuali modifiche nella titolarità effettiva o nella qualifica di persona politicamente esposta, l’acquisizione di nuovi documenti identificativi e, ove necessario, la rivalutazione del rischio attraverso una nuova compilazione del modello AV.1 in presenza di variazioni significative degli elementi originariamente considerati.

Il risultato complessivo è la costruzione di un fascicolo antiriciclaggio che non si limita a raccogliere documentazione, ma si configura come un vero e proprio dossier evolutivo, capace di rappresentare in modo coerente e aggiornato il rapporto con il cliente.

In tal modo, anche il controllo costante perde la connotazione di adempimento periodico meramente formale e assume la funzione di processo continuo di aggiornamento e verifica, funzionale a garantire nel tempo la coerenza tra il profilo di rischio del cliente e i presidi adottati dal professionista.

7. La conservazione dei dati e la centralità della tracciabilità

La disciplina della conservazione dei dati, documenti e informazioni completa il sistema degli adempimenti antiriciclaggio e merita particolare attenzione, perché supera definitivamente la visione riduttiva della conservazione come mero “archivio”.

Le indicazioni operative, in linea con quanto previsto dagli articoli 31, 32 e 34 Dlgs 231/2007 e dalla regola tecnica n. 3 del Cndcec, chiariscono infatti che la finalità dell’adempimento non è semplicemente quella di conservare la documentazione, ma di garantire la storicizzazione, l’integrità e la disponibilità delle informazioni nel tempo, in modo da consentire alle Autorità competenti di svolgere efficacemente le proprie attività di analisi e controllo.

A tal riguardo, il fascicolo antiriciclaggio assume una funzione sostanziale, essendo lo strumento attraverso il quale deve essere possibile ricostruire, anche ex post, l’intero percorso valutativo seguito dal professionista.

Il termine di conservazione dei dati, documenti e informazioni è fissato in 10 anni dalla cessazione del rapporto professionale o dall’esecuzione dell’operazione occasionale.

Le modalità di conservazione sono lasciate alla scelta organizzativa dello studio e possono essere cartacee, informatiche o miste, purché siano sempre garantite la riconducibilità delle informazioni al cliente, l’integrità dei dati e la loro pronta esibizione alle Autorità.

Sotto il profilo operativo, occorre distinguere tra la delegabilità interna delle attività di conservazione e la loro eventuale esternalizzazione.

Le attività materiali di archiviazione possono essere affidate a collaboratori o dipendenti dello studio, nel rispetto della disciplina in materia di protezione dei dati personali, trattandosi di un adempimento espressamente delegabile sul piano organizzativo.

Diverso è il caso dell’eventuale esternalizzazione della conservazione, che è ammessa purché sia garantita la diretta e immediata accessibilità al fascicolo; anche in tale ipotesi, tuttavia, la responsabilità per il corretto adempimento degli obblighi di conservazione resta integralmente in capo al soggetto obbligato.

L’analisi complessiva della modulistica e degli obblighi di conservazione consente di individuare, quale filo conduttore più che evidente, la centralità della documentazione del processo decisionale.

In sede di controllo, infatti, non sarà determinante la scelta di utilizzare o meno uno specifico modello, quanto la capacità del professionista di dimostrare:

Ne discende che la modulistica del Cndcec non deve essere letta come un insieme di schemi da compilare, ma come un sistema integrato finalizzato a rendere visibile, tracciabile e verificabile il giudizio professionale.

8. Gli effetti dell’applicazione delle regole tecniche sulle sanzioni antiriciclaggio

La corretta compilazione, ovvero la mancata o non corretta compilazione del documento di autovalutazione del rischio da parte del professionista possono comportare, rispettivamente, effetti premiali e aggravanti sull’applicazione delle sanzioni antiriciclaggio.

È infatti evidente che, non essendo presente una norma sanzionatoria specifica, la mancata compilazione del documento di autovalutazione del rischio non potrà mai comportare la contestazione e l’irrogazione di sanzioni dirette.

Di contro, però, la sua corretta o mancata redazione potrà incidere positivamente ovvero negativamente ai fini della determinazione quantitativa della sanzione in caso di ispezione e contestazione.

Una corretta autovalutazione, infatti, potrà dimostrare agli accertatori che lo studio ha adottato adeguate procedure di valutazione e mitigazione del rischio e questa circostanza potrà influire sull’eventuale graduazione della sanzione.

Secondo l’articolo 15 Dlgs 231/2007, gli organismi di autoregolamentazione dettano criteri e metodologie, commisurati alla natura dell’attività svolta e alle dimensioni dei soggetti obbligati, per l’analisi e la valutazione dei rischi di riciclaggio e di finanziamento del terrorismo, cui questi ultimi sono esposti nell’esercizio della loro attività.

I soggetti obbligati devono quindi adottare procedure oggettive e coerenti rispetto ai criteri e alle metodologie per l’analisi e la valutazione dei rischi di riciclaggio e di finanziamento del terrorismo.

L’adempimento ai precetti contenuti nell’articolo 15 è richiamato espressamente nell’articolo 67 del decreto, secondo cui, nell’applicazione delle sanzioni amministrative pecuniarie e delle sanzioni accessorie previste, il ministero dell’Economia e delle Finanze e le autorità di vigilanza di settore, per i profili di rispettiva competenza, considerano ogni circostanza rilevante e, in particolare, tenuto conto del fatto che il destinatario della sanzione sia una persona fisica o giuridica:

a) la gravità e durata della violazione;

b) il grado di responsabilità della persona fisica o giuridica;

c) la capacità finanziaria della persona fisica o giuridica responsabile;

d) l’entità del vantaggio ottenuto o delle perdite evitate per effetto della violazione, nella misura in cui siano determinabili;

e) l’entità del pregiudizio cagionato a terzi per effetto della violazione, nella misura in cui sia determinabile;

f) il livello di cooperazione con le autorità prestato della persona fisica o giuridica responsabile;

g) l’adozione di adeguate procedure di valutazione e mitigazione del rischio di riciclaggio e di finanziamento del terrorismo, commisurate alla natura dell’attività svolta e alle dimensioni dei soggetti obbligati;

h) le precedenti violazioni delle disposizioni di cui al Dlgs 231/2007.

Infine, è previsto un regime di favore a fronte di violazioni ritenute di minore gravità, qualora venga riscontrata l’applicazione dei criteri di cui sopra: infatti, secondo l’ultimo comma dell’articolo 67 citato, in questi casi la sanzione amministrativa pecuniaria prevista per violazione delle norme sull’adeguata verifica e degli obblighi di conservazione potrà essere ridotta da un terzo a due terzi.