Indice dei contenuti

1. Quando lo screening è obbligatorio: 231/2007, ISA Italia 250, ISQM 1 2. Come si costruisce il processo nelle carte di lavoro 3. Esempio pratico: Manifatture Tessili Venete S.p.A. 4. Lista di controllo operativa 5. Errori comuni e come evitarli 6. Contenuti correlati

Quando lo screening è obbligatorio: 231/2007, ISA Italia 250, ISQM 1

Si parta dalla falla, perché è lì che le sanzioni colpiscono. Negli studi medio-piccoli (gli studi, come si dice nelle nostre conversazioni di lavoro), lo screening sanzioni viene spesso eseguito una volta sola: alla prima accettazione, con uno screenshot del database conservato nel fascicolo dell'anno. Negli anni successivi, si tickano le voci di accettazione e si va avanti. Quando un controllo del MEF apre il fascicolo, le carte sono leggere: un PDF di tre anni fa, nessuna evidenza di re-screening dopo gli ultimi tre pacchetti UE, nessuna analisi sui beneficial owner della holding che nel frattempo è cambiata.

Cosa significa nella pratica: il controllo non sanziona la mancata individuazione del soggetto designato (sarebbe un caso raro), bensì la documentazione insufficiente del processo che avrebbe dovuto individuarlo.

Il riferimento normativo è stratificato e va citato per intero almeno una volta:

- D.Lgs. 231/2007 e successive modifiche (trasposizione delle direttive antiriciclaggio UE): obbligo di adeguata verifica del cliente, identificazione del titolare effettivo (artt. 18-20), conservazione documentale (art. 31) per dieci anni, segnalazione di operazioni sospette alla UIF (art. 35). - D.Lgs. 39/2010 sulla revisione legale: rinvia ai principi ISA Italia (art. 11) e disciplina la vigilanza CONSOB sugli enti di interesse pubblico (EIP) e MEF sui non-EIP. - ISA Italia 250 Sez A, par. 13-19: il revisore valuta la conformità a leggi e regolamenti che possono avere effetto diretto sulla determinazione di importi e informazioni significative del bilancio. Il regime sanzionatorio ha effetto diretto, non indiretto. - ISQM 1, par. 30-31: il sistema di gestione della qualità della società deve includere politiche di accettazione e mantenimento del rapporto con la clientela. Lo screening sanzioni rientra nei controlli di first line di questa policy. - Regolamenti UE 269/2014 (Ucraina/integrità territoriale), 2580/2001 (terrorismo), 833/2014 (settoriali Russia) e relative liste consolidate, integrati dalle SDN list dell'OFAC come riferimento internazionale di prassi.

Si dirà: per gli studi che fanno revisione di SRL non quotate, fuori dai settori ad alto rischio, con clientela italiana, il rischio di un match positivo è statisticamente basso. È vero, e nessuno qui finge il contrario. Però il D.Lgs. 231/2007 non scala l'obbligo sul rischio statistico ex post: scala l'intensità della verifica sul profilo di rischio ex ante (artt. 17-18, approccio basato sul rischio). Lo screening minimo si fa sempre. Quanto in profondità si scava è la zona grigia.

Liste di sanzioni che il fascicolo deve coprire

Quattro fonti, da consultare in modo coordinato:

1. Lista consolidata UE (gestita dal SEAE, riferimento primario per il revisore italiano) 2. OFAC SDN List (Stati Uniti, rilevante per controparti dollaro o operazioni con banche corrispondenti USA) 3. UK Sanctions List dell'HM Treasury (rilevante post-Brexit per controparti GBP) 4. Lista consolidata delle Nazioni Unite (Comitato Sanzioni del Consiglio di Sicurezza)

Verificare solo la lista UE non basta, perché le tempistiche di aggiornamento differiscono. Un soggetto può comparire prima sull'OFAC e settimane dopo sulla lista UE. Se l'audit firma una relazione tra un'iscrizione OFAC e quella UE, e nel frattempo il cliente ha incassato bonifici dal soggetto, lo studio si trova in una posizione che il Bollettino CONSOB descrive di solito come "carenze nelle procedure di accettazione".

Come si costruisce il processo nelle carte di lavoro

valutazione preliminare del rischio

Prima dell'accettazione, si raccolgono le informazioni necessarie a profilare il rischio paese, settore e controparti:

- Ragione sociale completa e denominazioni precedenti - Codice fiscale, partita IVA, numero REA - Soci con quota superiore al 25% (titolari effettivi ai sensi dell'art. 20 D.Lgs. 231/2007) - Amministratori, sindaci, eventuali soggetti con poteri di firma - Paese di incorporazione, sedi operative, mercati geografici principali - Settore merceologico e codici ATECO, con attenzione a dual-use, energia, difesa, servizi finanziari

L'ISA Italia 250.A6 chiede che il revisore comprenda il quadro normativo applicabile al settore del cliente prima di accettare. Per le EIP la valutazione è più stringente e va condivisa con il responsabile della qualità dell'incarico.

screening tra software e verifica manuale

Sui database commerciali esiste un disaccordo legittimo tra partner che vale la pena nominare apertamente. Partner A: una sottoscrizione attiva a World-Check di Refinitiv (o equivalente Dow Jones Risk & Compliance) costituisce evidenza sufficiente, perché il provider aggiorna in tempo reale e copre PEP, sanzioni, adverse media. Partner B: la sottoscrizione è il punto di partenza, non l'evidenza, perché il rischio residuo richiede un re-screening indipendente almeno annuale e una verifica manuale sui beneficial owner di secondo livello, che i database aggregano con qualità variabile.

Per quanto mi riguarda, sto con Partner B su tre clienti su cinque. Sui due restanti (clienti molto piccoli, esposizione internazionale nulla, controparti tutte italiane) un re-screening annuale automatico mi sembrerebbe disproporzionato rispetto al rischio. Ma il fascicolo deve dire perché si è scelta una via o l'altra: se non lo dice, il MEF lo legge come automatismo.

Per lo screening manuale, ogni soggetto va verificato contro le quattro liste con almeno questi parametri: nome esatto e varianti ortografiche e traslitterazioni cirilliche o arabe; data di nascita per le persone fisiche; codici identificativi per le entità; indirizzi di residenza o sede legale.

analisi dei risultati e documentazione difensiva

Tre esiti possibili, con tre trattamenti diversi:

Nessun match. Si documenta data, ora, lista consultata, metodologia, soggetto verificato. Senza queste quattro voci, l'esito non è documentato; è asserito. Le carte rimangono leggere.

Match parziale. Somiglianza nel nome ma differenze su data di nascita, nazionalità, indirizzo. Si conduce l'analisi di disambiguazione e si documenta il ragionamento, non solo la conclusione. Un match parziale chiuso con un "non rilevante" senza analisi è il rilievo che genera più osservazioni in fase di revisione interna.

Match positivo. L'incarico non viene accettato (o viene risolto, se emerge in continuità). Si valuta la segnalazione di operazione sospetta alla UIF ai sensi dell'art. 35 D.Lgs. 231/2007. Si valuta anche se il rapporto debba essere oggetto di blocco fondi se ricade nel perimetro di un regolamento UE direttamente applicabile.

L'art. 31 D.Lgs. 231/2007 impone una conservazione decennale. ISQM 1 chiede coerenza tra la policy della società e la sua applicazione sul singolo incarico. Il fascicolo deve rendere evidente entrambi gli ancoraggi.

Esempio pratico: Manifatture Tessili Venete S.p.A.

Scenario

Cliente: Manifatture Tessili Venete S.p.A., con sede a Vicenza Settore: produzione e commercializzazione di tessuti tecnici Ricavi 2025: EUR 28 milioni Mercati: 60% UE, 25% Medio Oriente, 15% Asia

Struttura societaria: - Amministratore delegato: Marco Bianchi (italiano, classe 1975) - Socio di maggioranza (65%): Holding Tessile Europa S.r.l. - Socio di minoranza (35%): Khalil Trading LLC (Emirati Arabi Uniti)

Processo di screening

Passo 1: profilazione di rischio

I tessuti tecnici non rientrano direttamente nei settori ad alto rischio dual-use, ma alcune fibre tecniche sì. Si verifica il portafoglio prodotti contro l'Allegato I del Reg. UE 2021/821 (dual-use). La presenza di un socio EAU richiede approfondimento sul titolare effettivo. Le vendite Medio Oriente impongono screening esteso paese per paese. Nota di carta di lavoro: "Rischio sanzioni: MEDIO. Socio EAU + vendite area MENA. Screening completo su tutte e quattro le liste, controllo dual-use su mix prodotti, re-screening semestrale."

Passo 2: screening persone fisiche

Marco Bianchi: nessun match su tutte e quattro le liste. Si procede alla verifica dei beneficial owner di Khalil Trading LLC tramite licenza commerciale di Dubai. Documentazione: "Marco Bianchi, CF BNCMRC75H12L781X. Screening EU/OFAC/UK/UN al 15/01/2026 ore 14:30 via World-Check (subscription ID 'studio-2026'). Nessun match."

Passo 3: screening entità

Manifatture Tessili Venete S.p.A. e Holding Tessile Europa S.r.l.: nessun match. Khalil Trading LLC: licenza n. 123456 Dubai, beneficial owner identificato Ahmed Al-Rashid (EAU), screening negativo. Si conserva schermata del DED Dubai e copia della licenza tradotta.

Complicazione (zona grigia). Tre mesi dopo l'accettazione, il dodicesimo pacchetto sanzioni UE estende le restrizioni ad alcune categorie merceologiche e al transhipment via paesi terzi. Una delle clienti finali in Arabia Saudita a cui il cliente vende risulta nei controlli OFAC come parte di una catena di fornitura monitorata (non sanzionata, ma in adverse media qualificata). Il fascicolo originale aveva chiuso il punto a gennaio. Adesso? Si riapre. Si emette una nota di aggiornamento, si documenta il nuovo perimetro normativo, si valuta se la transazione specifica configuri un'operazione sospetta ai sensi dell'art. 35 D.Lgs. 231/2007. La decisione si motiva, indipendentemente dalla conclusione.

Nei nostri incarichi la regola operativa è una sola: ogni volta che esce un nuovo pacchetto UE o un nuovo ordine OFAC rilevante per il settore del cliente, si apre la nota di aggiornamento entro la settimana. Anche se non cambia nulla, scriverlo nel fascicolo è ciò che differenzia un controllo qualità che si chiude in un'ora da uno che si chiude in tre giorni.

Lista di controllo operativa

1. Raccogliere informazioni complete sul cliente prima dell'accettazione (D.Lgs. 231/2007, artt. 17-18; ISA Italia 220.A11) 2. Verificare tutti i soggetti rilevanti (cliente, titolari effettivi >25%, amministratori, sindaci, key counterparty) contro le quattro liste principali 3. Documentare metodologia, data, ora, esito su carta di lavoro intestata, non su screenshot non datato 4. Analizzare i match parziali con criterio professionale (la disambiguazione si scrive, non si tikka) 5. Pianificare il re-screening su base almeno annuale, con trigger a evento per ogni nuovo pacchetto UE rilevante 6. La decisione di accettazione è motivata e firmata dal partner responsabile, con riferimento alla policy ISQM 1 della società

Errori comuni e come evitarli

Il primo errore strutturale è anche il più diffuso, e ha una causa precisa. Negli studi medio-piccoli i compensi della revisione sono spesso compensi irrisori rispetto al lavoro richiesto. Quando il budget orario non copre la procedura completa, lo screening diventa la prima voce a essere eseguita "al volo": un check rapido sul provider, un PDF nel fascicolo, ticka. Le carte si scrivono dopo, e dopo non si scrivono mai con la stessa profondità di quando si scrivono mentre si guarda il file. È un incentivo perverso ben noto a chi fa il mestiere; è anche la prima cosa che il MEF cerca quando apre il fascicolo. Non si risolve con esortazioni alla qualità: si risolve scegliendo se accettare l'incarico a un prezzo che rende sostenibile la procedura.

- Verificare solo la lista UE. Il timing di iscrizione differisce: OFAC e UE possono distare giorni o settimane. Se si firma in mezzo, il rilievo è dietro l'angolo. - Ignorare i beneficial owner delle controllanti. Quando il cliente è controllato da una holding, lo screening risale fino ai titolari effettivi finali con quote >25%, ai sensi dell'art. 20 D.Lgs. 231/2007. La holding non è uno schermo legittimo all'obbligo. - Accettare i match parziali senza analisi scritta. Un falso positivo non documentato genera problemi nei rapporti bancari del cliente. Un vero positivo non rilevato espone lo studio alla sanzione amministrativa pecuniaria della CONSOB o del MEF, e a responsabilità ai sensi del D.Lgs. 231/2007. - Non re-screening dopo nuovi pacchetti UE. Lo screening "una volta e basta" è la versione moderna di scrivere le carte dopo. La policy ISQM 1 della società va aggiornata in modo che il trigger esista nel sistema, non solo nella testa del partner.

Si tratta di un mestiere in cui la differenza tra una carta accettabile e un rilievo è quasi sempre la documentazione del ragionamento, non l'esito.

Contenuti correlati

- Glossario: Sistema di controllo qualità. Definizione e requisiti ISQM 1 per l'accettazione degli incarichi. - Calcolatore di rischio cliente. Strumento per la valutazione quantitativa del rischio di accettazione. - Guida all'ISA Italia 220: controllo qualità dell'incarico. Riferimenti sui requisiti di documentazione e supervisione.

---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.