Definition

Nei fascicoli che vediamo, la verifica DAC7 si riduce spesso a una dichiarazione raccolta dalla direzione. Nessuna riconciliazione tra i dati estratti dalla piattaforma e il bilancio, nessun confronto tra i venditori segnalati e quelli effettivamente sopra soglia. Le carte arrivano in chiusura e si chiude l'incarico. Quando il MEF avvierà i controlli qualitativi a partire da gennaio 2025, questo è il rilievo che genererà più contestazioni.

Punti chiave

- La DAC7 obbliga i prestatori di servizi digitali a comunicare i dati anagrafici e finanziari dei venditori che superano le soglie di transazione annue. - Si tratta di una norma di adempimento fiscale, non di un principio contabile. Il revisore la verifica nell'ambito del controllo interno e della corretta classificazione del soggetto come obbligato. - Nei fascicoli che vediamo, la mancata riconciliazione tra report transazionale e file XML inviato è il rilievo più frequente. - La maggior parte dei piccoli studi sottostima l'impatto sulla compliance tributaria del cliente che opera come prestatore di servizio digitale.

---

Cosa va storto nella pratica

Si parte da qui perché lo standard si capisce meglio guardando dove si rompe. Negli studi italiani che incontriamo, la verifica DAC7 fallisce in tre punti ricorrenti.

Il primo: il revisore chiede alla direzione se la DAC7 "si applica" e si ferma alla risposta. Le carte sono leggere. Nessuna analisi del business model, nessuna verifica dei contratti tra piattaforma e venditori, nessun confronto con i Considerando della direttiva. Cosa succede davvero: la direzione dichiara di non essere obbligata e il revisore tickа la casella. Quando il MEF arriva, il fascicolo non regge.

Il secondo: si verifica la comunicazione italiana e si chiude. Se il cliente gestisce venditori in altri Stati membri, la comunicazione potrebbe dover transitare anche tramite il Sistema Automatico di Scambio (SAE). Nei fascicoli che vediamo, questa verifica manca quasi sempre. Il revisore tratta la DAC7 come un adempimento solo italiano perché il cliente è italiano. Non funziona così.

Il terzo: il revisore richiede il file XML inviato e ne verifica l'esistenza, non il contenuto. Numero di venditori segnalati: confermato. Riconciliazione tra venditori segnalati e venditori effettivamente sopra soglia: assente. È una versione più sofisticata di scrivere le carte dopo.

---

Cosa richiede la norma

La DAC7 è entrata in vigore il 1° gennaio 2024. Il primo obbligo di segnalazione è scaduto il 31 gennaio 2025 per le transazioni del 2024. L'obiettivo della direttiva è armonizzare la comunicazione dei redditi generati tramite piattaforme digitali, vendita online, marketplace, noleggio di immobili residenziali e servizi finanziari automatizzati.

La portata riguarda i prestatori di servizi digitali che operano nell'UE e gestiscono transazioni per utenti (persone fisiche e giuridiche) sopra le soglie previste.

Le soglie sono:

- Almeno 25 transazioni per anno civile (per la maggior parte dei servizi) - Almeno 3.000 euro di valore complessivo annuo (per l'affitto di immobili residenziali)

Lo standard dice che il revisore deve verificare la corretta identificazione delle transazioni segnalabili, la comunicazione tecnica nel formato richiesto (messaggio XML) e la conservazione della documentazione di supporto per cinque anni. Cosa succede davvero: il revisore acquisisce la copia del file XML, conta i venditori segnalati e firma. La verifica della completezza, che richiederebbe l'estrazione indipendente dei dati transazionali e il confronto con il file inviato, raramente compare nelle carte.

Una zona grigia importante riguarda la classificazione del soggetto obbligato. Un marketplace che vende esclusivamente prodotti propri non è obbligato. Un marketplace che ospita venditori terzi sì. Un'agenzia immobiliare che gestisce transazioni per conto dei proprietari è obbligata; un proprietario che affitta occasionalmente no. La distinzione richiede analisi dei contratti e della struttura operativa, non la dichiarazione della direzione. Riteniamo che questa sia la verifica più trascurata, perché non c'è un playbook storico: le piattaforme digitali sono nuove e i dati sono frammentati tra sistemi che non sempre comunicano tra loro.

---

Esempio pratico: Digital Solutions s.r.l.

Cliente: Società italiana di servizi digitali (Digital Solutions s.r.l., Torino), marketplace B2C per la vendita di beni usati. FY 2024, revisione integrale, IFRS.

Step 1: Identificazione dell'obbligo Si verifica la natura dell'attività. Digital Solutions gestisce transazioni tra venditori (utenti della piattaforma) e acquirenti, agendo da intermediario digitale. Nel 2024, la piattaforma ha elaborato 3.847 transazioni da parte di 412 venditori registrati per un valore complessivo di € 892.000. Nota di documentazione: si acquisiscono lo statuto, il business plan e le istruzioni operative della piattaforma per confermare lo status di prestatore di servizio digitale ai sensi della DAC7. Documentazione nel fascicolo di pianificazione (ISA Italia 300.6).

Step 2: Verifica della soglia Poiché il numero di transazioni (3.847) supera la soglia minima di 25, Digital Solutions è obbligata alla comunicazione. Si verifica nel sistema informativo della società il conteggio transazionale e il valore annuo complessivo. Nota di documentazione: l'analista scarica il report transazionale dal sistema di gestione della piattaforma e lo incrocia con il book contabile. Conteggio e valore corrispondono ai log della piattaforma. Allegato: Report_Transazioni_2024.xlsx.

Step 3: Verifica della comunicazione — la complicazione Si richiede alla direzione il file XML inviato all'Agenzia delle Entrate o l'attestazione di ricezione. Sono stati segnalati 387 venditori sui 412 totali. La direzione spiega che i 25 venditori esclusi avevano meno di 25 transazioni ciascuno. Quando però l'analista riconcilia i codici fiscali del file XML con il database transazionale della piattaforma, emerge un gap: 18 venditori esclusi rispettavano il criterio numerico, ma il loro TIN (codice fiscale estero) era assente o malformato nel sistema. La piattaforma li aveva esclusi automaticamente per mancanza di dati anagrafici validi, non perché sotto soglia.

Qui inizia il giudizio. Lo standard tecnico richiede la segnalazione dei venditori sopra soglia. Cosa fare quando la piattaforma fornisce dati incompleti? La direzione propone di trattare l'esclusione come errore di sistema e di sanare il prossimo anno. Riteniamo che questa scelta esponga il cliente a rischio sanzionatorio, perché il D.Lgs. 32/2023 attribuisce alla piattaforma l'obbligo di raccolta dei dati anagrafici (procedure di due diligence ex art. 5). Sostituiamo la conclusione della direzione con una raccomandazione di comunicazione integrativa. Nota di documentazione: copia della comunicazione DAC7 acquisita presso l'Agenzia delle Entrate via portale telematico. Allegato: DAC7_Comunicazione_2025.pdf. Riconciliazione: 387 segnalati su 412 totali; 18 con TIN mancante; 7 sotto soglia. Discussione con direzione documentata. Allegato: Memo_DAC7_TIN_Gap.docx.

Step 4: Verifica della conservazione Si accerta che Digital Solutions conservi la documentazione di supporto (contratti con i venditori, log delle transazioni, dati anagrafici, IBAN/conti correnti) per almeno cinque anni dalla comunicazione. Si estrae un campione di 30 venditori segnalati. Nota di documentazione: procedura di analisi comparativa ISA Italia 520. Campione statistico MUS di 30 venditori segnalati. I dati anagrafici nel file XML corrispondono ai dati conservati nei file del cliente. 30 su 30 concordano. Conclusione: il controllo è efficace.

Conclusione: Digital Solutions ha comunicato i dati DAC7 all'Agenzia delle Entrate con una lacuna di completezza (18 venditori non segnalati per dati anagrafici incompleti). Si raccomanda comunicazione integrativa. Il rischio residuo di non conformità è valutato come medio, non basso. Memo nel fascicolo.

---

Cosa sbagliano revisori e professionisti

- Confusione con la normativa IVIE/AAID. Alcuni revisori confondono la DAC7 (comunicazione dei dati ai fini tributari sulle transazioni digitali) con le comunicazioni IVIE (Imposta sul Valore degli Immobili situati all'Estero) o AAID (Adempimento Automatico Imposta Diretta). La DAC7 si applica esclusivamente ai servizi digitali come definiti nella Direttiva 2021/1514, art. 3 e Considerando 2. - Sottovalutazione dell'obbligo nei marketplace internazionali. Se un cliente italiano opera un marketplace che vende a livello europeo, la DAC7 può imporre la comunicazione anche per venditori in altri Stati UE tramite il Sistema Automatico di Scambio (SAE). Molti revisori limitano il controllo alla segnalazione italiana. - Mancata verifica della classificazione dell'obbligato. Il revisore si limita a chiedere alla direzione se la DAC7 "si applica" senza analizzare il business model. Esempio: un'agenzia che gestisce prenotazioni alberghiere per hotel terzi è obbligata; un hotel che vende direttamente non lo è. La distinzione richiede analisi dei contratti e della struttura operativa.

---

Dove i professionisti ragionevolmente non concordano

C'è un punto su cui esperti seri divergono: quanto il revisore può fare affidamento sui dati forniti dalla piattaforma stessa.

Una posizione: i dati estratti dal sistema della piattaforma sono affidabili dato che il sistema è il sistema autoritativo per le transazioni. Un confronto a campione tra file XML e database transazionale è sufficiente. La verifica indipendente sarebbe sproporzionata rispetto al rischio.

L'altra posizione: la piattaforma ha un conflitto di interesse strutturale, perché segnalare di più espone i venditori-clienti e può ridurre il volume. Il revisore dovrebbe estrarre i dati indipendentemente (via accesso diretto al database, non via report fornito) e ricostruire il calcolo della soglia ex novo, almeno su un campione di mesi.

Riteniamo più solida la seconda posizione, perché i casi che abbiamo visto mostrano che i gap di dati anagrafici (TIN mancanti, partite IVA estere malformate) sono il punto in cui la piattaforma esclude silenziosamente venditori che dovrebbero essere segnalati. Tickare la casella "report ricevuto" non intercetta queste esclusioni. La direzione difficilmente le evidenzia perché spesso non le conosce.

---

Relazione tra DAC7 e controllo interno sul rischio tributario

Una comunicazione DAC7 incompleta o errata costituisce un rischio di frode tributaria significativo, specialmente se intenzionale. Secondo COSO 2013, il rischio di non conformità tributaria rientra nei controlli chiave sulla completezza e accuratezza della segnalazione. Si valuta se il cliente abbia implementato controlli su:

1. Identificazione automatica dei venditori che superano le soglie 2. Estrazione e validazione dei dati prima della comunicazione 3. Supervisione delle comunicazioni rispetto ai termini normativi 4. Conservazione della documentazione secondo i termini prescritti

Cosa dice lo standard: se questi controlli non esistono, si valuta il rischio di errori non corretti come elevato e si aumentano nature, timing ed extent delle procedure di audit. Cosa succede davvero, nei fascicoli italiani: questi controlli sono giovani perché la norma è giovane. Le piattaforme digitali italiane raramente hanno un controllo interno maturo sulla DAC7 al primo esercizio di applicazione. Il revisore deve documentare la carenza, non chiudere comunque.

---

Scenari comuni di applicazione

Marketplace e-commerce. Una piattaforma che facilita transazioni tra venditori e acquirenti (come Amazon, eBay, ma anche piattaforme nazionali specializzate) è obbligata se le transazioni superano le soglie. Si verifica la completezza tramite estrazione indipendente dal database transazionale e riconciliazione con il file XML inviato.

Noleggio di immobili residenziali. Una piattaforma di short-term rental è obbligata. La soglia è fissa a € 3.000 di ricavo annuo complessivo per proprietario (non 25 transazioni). Si usa la soglia corretta nel campione di proprietari segnalati.

Servizi di pagamento digitali. Un'entità che fornisce servizi di wallet digitale o trasferimenti di denaro può essere obbligata se agisce da intermediario (non come banca tradizionale, soggetta a CRS). La natura dell'obbligato (intermediario o istituzione finanziaria) determina quale comunicazione sia richiesta.

---

Termini e deadline critici

- Decorrenza: 1° gennaio 2024 - Primo obbligo di segnalazione: 31 gennaio 2025 (per transazioni del 2024) - Conservazione della documentazione: almeno 5 anni dalla comunicazione - Formato della comunicazione: file XML secondo lo schema tecnico dell'Agenzia delle Entrate

Si inserisce nel fascicolo di pianificazione la data di decorrenza e si verifica che il cliente abbia implementato i sistemi informatici per tempo. Quando lavoriamo su clienti con piattaforme digitali, questa data è la prima ad andare nel programma di lavoro.

---

Risorse correlate

- Compliance tributaria e rischio di frode: come il rischio DAC7 si integra nella valutazione ISA Italia 240 del rischio di frode tributaria - Controlli interni e ISA Italia 315: struttura della valutazione dei controlli chiave su adempimenti tributari - Agenzia delle Entrate: Comunicazione DAC7: guida ufficiale italiana alla comunicazione DAC7 (collegamento esterno)

---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.