Il fascicolo c’è, ma l’obbligo no: cosa manca davvero nello studio professionale entro il 27 maggio 2026
Il CNDCEC ha fissato la scadenza per l’aggiornamento dell’autovalutazione del rischio antiriciclaggio. Quasi nessuno sa che la modulistica non è obbligatoria — e che un fascicolo formalmente completo, senza ragionamento tracciato, non è un fascicolo conforme.
The Integrity Times · Norme & Compliance · Maggio 2026 | Fonti: D.Lgs. 231/2007 · Regole Tecniche CNDCEC 16 gennaio 2025 · Informativa CNDCEC n. 57/2026 · Informativa CNDCEC n. 85/2025
Ogni anno, in migliaia di studi professionali italiani, qualcuno compila un modulo. Lo firma, lo archivia, lo considera un adempimento completato. Il modulo ha un nome preciso — Modello AV.0, autovalutazione del rischio di studio — e una scadenza, fissata per il 27 maggio 2026 dal Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili. Ma quel modulo, da solo, non basta. Non è mai bastato. Ed è esattamente questo che la stragrande maggioranza dei professionisti continua a non vedere.
1. Perché questa scadenza è diversa dalle altre
La disciplina antiriciclaggio per i professionisti contabili non è nuova. Il D.Lgs. 21 novembre 2007, n. 231 — più volte modificato, da ultimo con il D.Lgs. 90/2017 in recepimento della IV Direttiva UE — impone ai dottori commercialisti e agli esperti contabili un sistema articolato di obblighi: identificazione del cliente, adeguata verifica, conservazione dei dati, segnalazione delle operazioni sospette. Al centro di questo sistema c’è un obbligo spesso sottovalutato: la valutazione del rischio dello studio professionale nella sua interezza.
Gli articoli 15 e 16 del D.Lgs. 231/2007 impongono a ogni soggetto obbligato di valutare il rischio di riciclaggio e di finanziamento del terrorismo connesso alla propria attività professionale e di adottare presidi e procedure adeguati per gestirlo e mitigarlo. Non si tratta di una verifica una tantum. Si tratta di un processo continuo, documentato, personale.
La novità del 2025 — e quindi l’urgenza del 2026 — viene dalla Regola Tecnica n. 1 emanata dal CNDCEC il 16 gennaio 2025, previo parere favorevole del Comitato di Sicurezza Finanziaria del 27 dicembre 2024. Questa Regola ha introdotto un cambiamento sostanziale nella cadenza dell’adempimento: l’autovalutazione del rischio, tradizionalmente triennale, deve ora essere aggiornata entro un anno dalla pubblicazione dell’Analisi nazionale dei rischi. L’Analisi più recente è stata pubblicata dal CSF in data 27 maggio 2025. La scadenza è dunque il 27 maggio 2026.
⚑ Osservazione editoriale — The Integrity Times
La modifica della cadenza da triennale ad annuale non è un aggiustamento tecnico. È un cambio di paradigma regolatorio: il CNDCEC ha allineato i professionisti a una logica di presidio dinamico del rischio, analoga a quella già in vigore per gli intermediari finanziari. Chi ha ancora in mente la “vecchia” autovalutazione triennale si trova già fuori dal perimetro di conformità.
2. Chi è obbligato: il perimetro soggettivo
L’obbligo riguarda tutti gli iscritti all’Albo dei Dottori Commercialisti e degli Esperti Contabili che svolgono le prestazioni professionali elencate nell’art. 3, comma 4, del D.Lgs. 231/2007: attività in materia di contabilità, consulenza fiscale, revisione contabile, operazioni finanziarie, societarie, immobiliari, e altri servizi di natura economica. Non esiste una soglia dimensionale che esonera dall’obbligo: il perimetro soggettivo è dettagliato nel callout qui sotto.
Le conseguenze organizzative variano in base alle dimensioni dello studio e sono riepilogate nel callout sopra. Il punto fermo è che nessuna struttura — dallo studio individuale alla STP strutturata — è esonerata dall’obbligo di autovalutazione del rischio.
Chi è soggetto all’obbligo di autovalutazione
- Dottori commercialisti e esperti contabili iscritti all’Albo — professionisti individuali
- Studi associati con più professionisti iscritti — obbligo di istituire la funzione antiriciclaggio
- Società tra professionisti (STP)
- Studi con oltre 30 professionisti e 30 collaboratori — obbligo aggiuntivo di nomina del responsabile antiriciclaggio e funzione di revisione indipendente
Riferimento normativo: Art. 3, co. 4, e artt. 15–16 D.Lgs. 231/2007 · Regola Tecnica n. 1, CNDCEC, 16 gennaio 2025
3. La struttura dell’autovalutazione: cosa bisogna fare davvero
Il modello AV.0, aggiornato con l’Informativa CNDCEC n. 57 del 26 marzo 2026, si articola in tre fasi logiche distinte che devono essere documentate in modo tracciabile.
La prima fase è la determinazione del rischio inerente: il rischio correlato alla probabilità che operazioni di riciclaggio o finanziamento del terrorismo possano transitare attraverso l’attività professionale dello studio, indipendentemente dai presidi adottati. Si valutano quattro fattori — tipologia della clientela, aree geografiche di operatività, canali distributivi, tipologia di servizi offerti — ciascuno con una scala graduata.
La seconda fase è la valutazione della vulnerabilità dello studio: l’efficacia concreta dei presidi organizzativi adottati. Si analizzano la formazione del personale, l’organizzazione degli adempimenti di adeguata verifica, la conservazione dei documenti, il sistema di segnalazione delle operazioni sospette. Anche la vulnerabilità si esprime su scala graduata.
La terza fase è la determinazione del rischio residuo, ottenuto attraverso una formula ponderata (40% rischio inerente, 60% vulnerabilità) sintetizzata nel callout qui sotto. Il livello di rischio residuo che emerge determina l’intensità delle misure di gestione e mitigazione che il professionista è tenuto ad adottare e documentare.
La formula del rischio residuo (Regola Tecnica n. 1 CNDCEC, 2025)
RISCHIO RESIDUO = RISCHIO INERENTE × 40% + VULNERABILITÀ × 60%
I quattro elementi che compongono la vulnerabilità — e su cui il professionista può intervenire concretamente — sono: adeguatezza della formazione del personale, organizzazione degli adempimenti di adeguata verifica, sistema di conservazione dei documenti, procedure per la segnalazione delle operazioni sospette. Più questi presidi sono solidi e documentati, minore è il rischio residuo.
4. Il nodo critico: la modulistica non è l’adempimento
Qui si concentra l’errore più diffuso e più pericoloso. Il CNDCEC ha messo a disposizione degli iscritti, con l’Informativa n. 57/2026, una modulistica aggiornata e indicazioni operative per la compilazione. Questi strumenti hanno natura esclusivamente esemplificativa e non obbligatoria. Lo dice il CNDCEC stesso, con un’enfasi che merita di essere letta con attenzione: la modulistica orienta e struttura il processo valutativo, ma non può sostituire il ragionamento del professionista, che deve essere sviluppato, tracciato e documentato caso per caso.
Un fascicolo antiriciclaggio di studio che contenga il Modello AV.0 compilato in ogni campo — con i punteggi inseriti, le categorie di clientela barrate, la formula applicata — ma che non documenti il percorso logico che ha portato a quei valori, non è un fascicolo conforme. È un fascicolo formalmente completo e sostanzialmente vuoto. È esattamente la situazione che i verificatori dell’UIF e della Guardia di Finanza cercano durante le ispezioni.
La logica di presidio introdotta dalla IV Direttiva UE e recepita nel D.Lgs. 231/2007 richiede per sua natura un apprezzamento concreto delle circostanze specifiche di ciascuno studio e di ciascun cliente. Non è possibile effettuare tale valutazione mediante schemi automatici o presunzioni generalizzate. Il legislatore e il CNDCEC sono espliciti su questo punto.
Il rischio, insomma, non si gestisce compilando un modulo. Si gestisce ragionando, decidendo, documentando le decisioni. Il modulo è lo strumento per raccogliere questo ragionamento, non il ragionamento stesso.
⚑ Osservazione editoriale — The Integrity Times
La distinzione tra conformità formale e conformità sostanziale non è astratta. Una sentenza del Tribunale di Roma del novembre 2024, riguardante un dottore commercialista sanzionato per omessa adeguata verifica e omessa segnalazione di operazioni sospette, ha confermato che l’assenza di profilazione del cliente — cioè di un ragionamento documentato sul rischio — configura autonoma fattispecie di violazione ai sensi dell’art. 56 del D.Lgs. 231/2007. La sanzione inizialmente irrogata dal MEF era di 52.000 euro. Non si tratta di rischi teorici.
5. Il quadro italiano: l’autorità competente e il sistema di vigilanza
Per i dottori commercialisti e gli esperti contabili, l’autorità di vigilanza in materia antiriciclaggio è il Ministero dell’Economia e delle Finanze, per il tramite della Ragioneria Territoriale dello Stato competente per territorio. L’attività ispettiva è svolta anche dalla Guardia di Finanza e dall’Unità di Informazione Finanziaria (UIF), struttura della Banca d’Italia. La supervisione deontologica sull’adempimento delle norme tecniche è affidata al CNDCEC e agli Ordini territoriali, che sono responsabili dell’adozione di misure idonee a sanzionare l’inosservanza, ai sensi dell’art. 11, co. 2, del D.Lgs. 231/2007.
Le ispezioni antiriciclaggio sugli studi professionali seguono un approccio campionario: vengono estratti fascicoli di clienti — solitamente tra cinque e dieci — e verificata la coerenza tra la profilazione del rischio assegnata, le informazioni acquisite in fase di adeguata verifica e la documentazione conservata. È in questa fase che la differenza tra conformità formale e conformità sostanziale diventa concreta.
Va segnalato che l’Analisi nazionale dei rischi di riciclaggio e finanziamento del terrorismo, pubblicata dal CSF nel maggio 2025, ha aggiornato le valutazioni di rischio per settore e area geografica. Alcune categorie di prestazioni professionali — in particolare quelle connesse a operazioni straordinarie societarie, trasferimenti immobiliari, ristrutturazione del debito — hanno visto un innalzamento del profilo di rischio rispetto all’analisi precedente. Il professionista che si limitasse ad aggiornare la data sul modulo dell’anno scorso, senza rileggere criticamente il contesto di rischio alla luce dei nuovi dati, non avrebbe adempiuto all’obbligo di aggiornamento.
6. Mappa delle scadenze
| Data | Evento normativo | Stato |
|---|---|---|
| 16 gen 2025 | Emanazione Regole Tecniche CNDCEC ex art. 11, co. 2, D.Lgs. 231/2007 — RT1 introduce cadenza annuale in caso di aggiornamento Analisi nazionale | IN VIGORE |
| 27 mag 2025 | Pubblicazione Analisi nazionale dei rischi di riciclaggio e FT da parte del Comitato di Sicurezza Finanziaria — fa decorrere il termine annuale | IN VIGORE |
| 26 mar 2026 | CNDCEC Informativa n. 57/2026 — approvazione modulistica aggiornata e indicazioni operative per adempimenti antiriciclaggio (Modelli AV.0 – AV.8) | IN VIGORE |
| ⚠ 27 mag 2026 | SCADENZA — Termine ultimo per l’aggiornamento dell’autovalutazione del rischio dello studio (Modello AV.0) ai sensi di RT1 e degli artt. 15–16 D.Lgs. 231/2007 | SCADENZA CRITICA |
| 10 lug 2026 | Scadenza recepimento artt. 11–13 VI Dir. AML 2024/1640 — norme sui registri dei titolari effettivi (impatto indiretto sull’adeguata verifica) | FUTURO |
| 10 lug 2027 | Applicazione piena Reg. UE 2024/1624 (Single Rulebook AML) — nuovo corpus regolamentare direttamente vincolante per tutti i soggetti obbligati | FUTURO |
7. Il quadro sanzionatorio
Il regime sanzionatorio del D.Lgs. 231/2007 — profondamente ridisegnato dal D.Lgs. 90/2017 — distingue più livelli di violazione, con conseguenze che vanno dalla sanzione amministrativa pecuniaria alla responsabilità disciplinare, fino, nei casi più gravi, alla denuncia all’autorità giudiziaria.
Sul piano sanzionatorio occorre una precisazione tecnica importante. Il mancato aggiornamento dell’autovalutazione del rischio di studio, in quanto tale, non è direttamente sanzionabile in via autonoma ai sensi del D.Lgs. 231/2007. Tuttavia — e questo è il punto che non viene quasi mai spiegato — la sua esistenza e la sua qualità documentale rilevano in modo determinante nella quantificazione della sanzione per le violazioni connesse (art. 67, co. 1, lett. g, del Decreto): un’autovalutazione aggiornata, completa e coerente con i fascicoli dei clienti costituisce elemento di mitigazione della sanzione stessa.
Le violazioni direttamente sanzionate sono invece quelle relative all’adeguata verifica della clientela (art. 56), alla conservazione dei dati (art. 57) e, con le conseguenze più severe, alla mancata segnalazione di operazioni sospette (artt. 58–59). Per le violazioni qualificate come gravi, ripetute o sistematiche, le sanzioni amministrative possono raggiungere i 300.000 euro. Al regime sanzionatorio pecuniario si aggiungono potenziali conseguenze deontologiche e disciplinari, nonché l’impatto sulle polizze di responsabilità professionale in caso di danni derivanti da omissioni nella gestione antiriciclaggio.
Principali fattispecie sanzionatorie — D.Lgs. 231/2007
- Art. 56 — Omessa/carente adeguata verifica: sanzione amministrativa pecuniaria da 2.000 a 50.000 euro (fattispecie base) · fino a 300.000 euro per violazioni gravi, ripetute o sistematiche
- Art. 57 — Violazione degli obblighi di conservazione: sanzione da 2.000 a 50.000 euro
- Artt. 58–59 — Omessa segnalazione operazione sospetta: sanzione da 3.000 a 30.000 euro (base) · fino a 300.000 euro per violazioni gravi
- Art. 67, co. 1, lett. g — L’adozione di adeguate procedure di valutazione del rischio (autovalutazione aggiornata) è criterio di mitigazione nella quantificazione della sanzione
8. Agenda operativa: cosa fare entro il 27 maggio 2026
Le indicazioni seguenti sono articolate per funzione. Il punto di partenza è sempre la lettura dell’Analisi nazionale dei rischi del CSF (maggio 2025) e delle Regole Tecniche CNDCEC del 16 gennaio 2025 — documenti che vanno conosciuti, non delegati.
Professionista individuale / Studio mono-professionista
Rileggere integralmente l’autovalutazione del rischio precedente alla luce dei nuovi scenari dell’Analisi nazionale 2025. Verificare se la propria clientela rientra in categorie di rischio che l’Analisi ha ridefinito (operazioni straordinarie, trasferimenti immobiliari, ristrutturazioni debitorie). Aggiornare il Modello AV.0 documentando il ragionamento che ha portato ai punteggi attribuiti — non limitarsi a inserire numeri, ma descrivere brevemente le motivazioni. Conservare il documento aggiornato con data certa e archiviarlo nel fascicolo dello studio.
Studio associato / Responsabile antiriciclaggio
Organizzare una sessione interna di revisione che coinvolga tutti i professionisti soci: il profilo di rischio dello studio è unico, ma i dati di input provengono da tutti i professionisti che gestiscono clienti. Verificare la congruenza tra l’autovalutazione di studio (AV.0) e i fascicoli di adeguata verifica dei clienti più significativi: la prima deve rispecchiare la realtà del secondo. Aggiornare o istituire, se non già presente, la funzione antiriciclaggio prevista dalla Regola Tecnica n. 1 per gli studi con almeno due professionisti iscritti. Pianificare un’attività di formazione per collaboratori e dipendenti sulle novità dell’Analisi nazionale 2025.
Consulenti legali e compliance advisor che assistono studi professionali
Verificare che i clienti-studi commerciali abbiano ricevuto comunicazione della scadenza del 27 maggio 2026 e della sua natura non meramente formale. Predisporre, se richiesto, un supporto alla redazione dell’autovalutazione, ricordando che l’adempimento è strettamente personale: il consulente può strutturare il processo e assistere il professionista, ma non può sostituire il giudizio che deve essere espresso e documentato da chi firma. Valutare se il fascicolo antiriciclaggio di studio sia allineato ai modelli aggiornati dall’Informativa CNDCEC n. 57/2026, verificando in particolare che i modelli AV.0 e AV.1 siano coerenti tra loro.
Conclusione
La normativa antiriciclaggio per i professionisti contabili non è mai stata soltanto un catalogo di moduli da compilare. È — e lo è dalla IV Direttiva UE in poi — un sistema di presidio attivo del rischio, basato sul ragionamento professionale e sulla sua documentazione tracciabile. Le Regole Tecniche del CNDCEC del gennaio 2025 hanno reso questo principio operativo con una scadenza precisa: il 27 maggio 2026.
Il problema reale non è la scadenza. Il problema è la distanza tra la conformità formale — il modulo compilato, il fascicolo esistente — e la conformità sostanziale: il ragionamento documentato, la coerenza tra profilo di rischio dello studio e fascicoli individuali dei clienti, la formazione aggiornata del personale. È in questa distanza che vive il rischio reale per il professionista. Ed è su questa distanza che TIT ritiene necessario insistere.
Articoli correlati — Serie Norme & Compliance
- AI Act Art. 4 — Obbligo di AI Literacy: cosa devono fare aziende e professionisti
- NIS2 / D.Lgs. 138/2024 — La responsabilità degli organi di amministrazione
- DORA / D.Lgs. 23/2025 — Il regime sanzionatorio per banche e assicurazioni
- CS3D / Omnibus I — Dir. UE 2026/470: la due diligence sui diritti umani
- AI Act sistemi ad alto rischio + Digital Omnibus: le scadenze slittano
- Data Act — Reg. UE 2023/2854: i dati dei prodotti connessi non sono più solo vostri
Fonti primarie
- D.Lgs. 21 novembre 2007, n. 231 — Testo vigente su Normattiva: normattiva.it
- D.Lgs. 25 maggio 2017, n. 90 — Modifica D.Lgs. 231/2007 (recepimento IV Dir. AML 2015/849) — GU n. 140 del 19 giugno 2017
- Regole Tecniche CNDCEC ex art. 11, co. 2, D.Lgs. 231/2007 — 16 gennaio 2025 — Deliberazione CNDCEC, previo parere CSF del 27 dicembre 2024: commercialisti.it
- Informativa CNDCEC n. 85/2025 — Aggiornamento autovalutazione del rischio (RT1), scadenza 27 maggio 2026: commercialisti.it
- Informativa CNDCEC n. 57/2026 del 26 marzo 2026 — Modulistica e indicazioni operative adempimenti antiriciclaggio: commercialisti.it
- Analisi nazionale dei rischi di riciclaggio e FT — Comitato di Sicurezza Finanziaria, maggio 2025: mef.gov.it
- Direttiva UE 2024/1640 (VI Direttiva AML) — GU UE Serie L del 19 giugno 2024: eur-lex.europa.eu
- Regolamento UE 2024/1624 (Single Rulebook AML) — GU UE Serie L del 19 giugno 2024: eur-lex.europa.eu
© The Integrity Times · Riproduzione Riservata · www.theintegritytimes.com