Il problema non è tecnologico, è di controllo interno
Non si tratta di capire la blockchain. Si tratta di capire chi, dentro l'entità, tiene le chiavi private e con quali autorizzazioni. L'ISA Italia 315.12 richiede la comprensione dell'entità e del suo ambiente, ma nel caso crypto l'ambiente è per metà dentro un hardware wallet chiuso in cassaforte e per metà su un exchange estero non soggetto a MiCA.
La direzione tende a presentare la custodia come questione tecnica. Nella nostra esperienza è invece una questione di segregazione delle funzioni: chi firma la transazione, chi la approva, chi la contabilizza. L'ISA Italia 315.A129, sui sistemi informatici complessi, va letto assieme all'ISA Italia 315.A97 sui controlli generali IT. Quando un solo amministratore detiene seed phrase e password dell'exchange, non si ha un controllo interno, si ha un single point of failure travestito da procedura.
I rischi che il revisore deve mappare
L'ISA Italia 315.25 impone di identificare i rischi a livello di asserzione. Sulle cripto-attività tre asserzioni meritano attenzione disomogenea:
Esistenza. Non esiste un depositario centrale da circolarizzare. Se le chiavi private sono perdute o compromesse, l'asset è contabilmente iscritto ma economicamente sparito. Il C.C. art. 2423-bis impone la rappresentazione veritiera e corretta: iscrivere crypto che l'entità non controlla più viola il principio prima ancora che la norma fiscale.
Completezza. Wallet multipli, exchange diversi, eventuali posizioni in DeFi. Si tende a chiedere l'elenco alla direzione e a fermarsi lì. Confessione si-impersonale: si è firmato più di un fascicolo dove la completezza poggiava solo sulla rappresentazione scritta, e non è abbastanza.
Valutazione. IFRS 13 parla di gerarchia del fair value, ma per token illiquidi o su exchange a basso volume la scelta del mercato attivo è tutt'altro che meccanica.
Procedure di validità: cosa tickare davvero
Verificare l'esistenza direttamente sulla catena
L'ISA Italia 330.A22 lega natura delle procedure e rischi valutati. Per le crypto, la fonte più persuasiva non è il saldo dell'exchange, è la blockchain. Si richiede alla direzione l'elenco completo degli indirizzi wallet controllati dall'entità, si interroga un block explorer pubblico (Blockchain.info per Bitcoin, Etherscan per Ethereum) alla data di bilancio e si tickano i saldi contro la contabilità.
Opinione, con argomentazione. La verifica on-chain è evidenza esterna e indipendente, superiore per persuasività a qualunque estratto conto exchange. Ragionamento: un estratto exchange è una dichiarazione di terzo sì, ma di un terzo senza MiCA authorization in molti casi, e comunque reversibile; la blockchain è registro pubblico distribuito, non riscrivibile. Ne discende che il revisore dovrebbe trattare il saldo exchange come evidenza corroborativa, non primaria.
Controlli sulle chiavi private: dove casca il banco
L'ISA Italia 315.A97 richiede la comprensione dei controlli IT rilevanti. Tradotto per le crypto: chi genera la seed phrase, dove è fisicamente custodita, chi ha accesso in lettura, chi può firmare. Disaccordo legittimo con parte della prassi corrente. Alcuni colleghi del collegio sindacale si accontentano di una procedura scritta dalla direzione. Noi riteniamo che la procedura vada osservata in esecuzione, almeno una volta, perché la documentazione di una procedura che nessuno sa eseguire è carta morta.
Testing delle transazioni
L'ISA Italia 330.A17 impone di disegnare procedure di validità sui dettagli. Si seleziona un campione di movimenti dell'esercizio e si riconciliano hash, importi, indirizzi di origine e destinazione contro la contabilità. L'hash della transazione è un identificativo unico e non contestabile: se non torna, qualcosa sta mentendo, e non è la blockchain.
Esempio pratico: Digital Commerce Italia S.r.l.
Scenario. SRL con sede a Milano, ricavi EUR 25M, cripto in bilancio per EUR 340.000 al 31 dicembre 2023, composte da 8,2 Bitcoin e 1.250 Ethereum. Custodia principale su hardware wallet Ledger, operatività marginale su exchange.
Passo 1. Comprensione dei controlli. Si richiede alla direzione una mappatura dei wallet, dei processi di autorizzazione e dei controlli fisici sull'hardware wallet. Si documenta nel fascicolo di revisione, sezione comprensione dell'entità, l'intera catena di responsabilità sulla custodia.
Passo 2. Elenco degli indirizzi. La direzione fornisce 1A2B3C4D5E6F (Bitcoin) e 0x123456789ABC (Ethereum). Si verificano i saldi on-chain alla data di bilancio. Screenshot dei block explorer con timestamp, riconciliazione contro la contabilità.
Passo 3. Transazioni significative. Si tickano tutte le transazioni sopra EUR 10.000 dell'esercizio, cinque BTC e tre ETH, verificando hash e indirizzi. Ogni hash testato va nel fascicolo di revisione.
Passo 4. Fair value. Si verifica che la SRL applichi prezzi di mercato attivo ex IFRS 13. Si confrontano i prezzi utilizzati con almeno due exchange indipendenti e con fonti tipo CoinMarketCap alla data di bilancio. Per BTC ed ETH il mercato attivo esiste; per token minori la gerarchia del fair value slitterebbe verso il Livello 2 o 3, con stima da motivare in nota integrativa secondo OIC quando applicabile e IFRS 13 per chi redige in IAS/IFRS.
Passo 5. Completezza. Si esaminano le transazioni storiche per individuare indirizzi wallet non dichiarati, si ottiene lettera di attestazione della direzione ex ISA Italia 580.14 sull'esaustività dell'elenco.
La verifica conferma l'esistenza di 8,2 BTC e 1.250 ETH, la corrispondenza con i saldi contabili, l'adeguatezza dei controlli con doppia firma sui trasferimenti, l'appropriatezza dei prezzi.
Incentivi perversi e compensi irrisori
Qui si entra nel merito di un problema che gli studi italiani conoscono. I compensi per le revisioni su entità che detengono crypto vengono spesso negoziati come revisione di asset generici, senza un budget ore per la specificità crypto. Il risultato è prevedibile: il team ticka il saldo exchange, allega qualche screenshot, chiude. Nei fascicoli crypto che vediamo, la correlazione tra compensi irrisori e fascicoli con carte leggere è quasi perfetta. Second-order: fintanto che il mercato non prezza esplicitamente la competenza crypto come specialty, la qualità media delle revisioni su questi asset resterà sotto lo standard che CONSOB e, a tendere, i supervisori MiCA si aspetteranno.
Checklist operativa
1. Elenco wallet completo. Indirizzi di wallet, exchange e servizi di custodia, con attestazione scritta di completezza ex ISA Italia 580.14. 2. Saldi on-chain. Per ogni indirizzo, saldo su block explorer alla data di bilancio, screenshot timestampato nel fascicolo di revisione. 3. Controlli sulle chiavi. Segregazione delle funzioni, autorizzazione dei trasferimenti, ISA Italia 315.14. 4. Campionamento transazioni. Hash, importi e controparti verificati on-chain, ISA Italia 330.A17. 5. Fair value. Prezzi da mercati attivi multipli, test di accuratezza, IFRS 13 e IFRS 13.44 per la gerarchia. 6. Documentazione riproducibile. Ogni verifica blockchain deve essere ripetibile da un altro revisore leggendo soltanto il fascicolo.
Errori ricorrenti
- Accontentarsi delle rappresentazioni scritte della direzione. ISA Italia 580.5 è esplicito: le attestazioni non costituiscono da sole evidenza sufficiente. Per l'esistenza, la catena è obbligatoria. - Non verificare l'accesso operativo. Documentare il possesso senza testare il controllo: si prova l'esistenza dell'asset, non del suo dominio effettivo. Se l'entità non può muovere le crypto, non le controlla. - Un solo exchange per il fair value. La volatilità e la frammentazione dei mercati crypto rendono pericoloso il mono-fonte. IFRS 13.44 chiede il mercato più vantaggioso disponibile, non il più comodo.
Contenuti correlati
- Glossario: Fair Value Measurement - Definizione e applicazione dell'IFRS 13, con gerarchia del fair value - Calcolatore di significatività ISA 320 - Significatività specifica per entità con cripto-attività rilevanti - Guida alla documentazione ISA 230 - Requisiti per procedure non standard come la verifica on-chain