WWFT

Come funziona

Iniziamo dal punto in cui la maggior parte dei file inciampa: la valutazione del rischio antiriciclaggio non è una procedura una tantum di accettazione, è un giudizio professionale che va aggiornato a ogni rinnovo dell'incarico. Il D.Lgs. 231/2007 (e per analogia il WWFT olandese) opera su due livelli simultanei. A livello di studio, il revisore deve adottare procedure AML/CFT (Anti-Money Laundering / Combating the Financing of Terrorism) che identifichino clienti soggetti a sanzioni o sospetti di riciclaggio. A livello di incarico, queste procedure si applicano in fase di accettazione e per tutta la durata della relazione, con documentazione tracciabile in ogni passaggio.

In Italia, la due diligence rafforzata si applica obbligatoriamente quando il cliente presenta uno o più dei fattori indicati all'art. 24 del D.Lgs. 231/2007: ultimate beneficial owner non chiari, settori ad alto rischio (commercio di metalli preziosi, gioco d'azzardo, edilizia con elevata componente cash, criptovalute), transazioni in contanti significative, presenza in Paesi a rischio identificati dal GAFI. Il revisore mantiene documentazione della verifica dell'identità, della struttura proprietaria fino all'UBO, e della rivalutazione periodica del rischio. La rivalutazione non è annuale per default: è "periodica e basata sul rischio", il che significa che per un cliente classificato alto rischio può essere semestrale, per un cliente basso rischio biennale, ma in ogni caso documentata.

La procedura WWFT (e quella italiana) non rientra direttamente nell'ambito di applicazione di ISA Italia 240 (responsabilità del revisore per la frode), ma negli obblighi normativi di conformità del revisore come professionista regolamentato. Nondimeno, una transazione che mostra segnali di riciclaggio può costituire anche una falsa rappresentazione che rientra in ISA Italia 240, e una violazione del D.Lgs. 231/2007 da parte del cliente è materia di considerazione ai sensi di ISA Italia 250 (leggi e regolamenti).

Cosa succede davvero negli studi: l'analisi del rischio antiriciclaggio entra nel fascicolo di accettazione come una sezione di tre righe ("Rischio: medio. Settore: edile. Procedure: standard"), si mette la firma, e per anni non si tocca più. Quando arriva la verifica della UIF o il controllo MEF sullo studio, il revisore mostra la classificazione del 2021 su un cliente che nel 2024 ha aperto due controllate in Lussemburgo. È esattamente il tipo di lacuna che si rileva in mezza giornata.

Esempio pratico: Edil Costruzioni S.r.l.

Cliente: S.r.l. edile italiana, FY2024, ricavi EUR 8,5M, cliente da tre anni, controllata operativa in Romania da gennaio 2024.

Passaggio 1 – Valutazione del rischio antiriciclaggio al rinnovo dell'incarico

La S.r.l. opera nel settore costruzioni con transazioni frequenti in contanti per subappaltatori e fornitori di materiali. Durante la pianificazione del FY2024, il team riapre la classificazione di rischio e nota due cambiamenti rispetto all'esercizio precedente: l'apertura della controllata rumena da gennaio 2024 e l'aumento del 35% dei pagamenti in contanti rispetto al FY2023 (da EUR 180.000 a EUR 243.000 totali). Il rischio antiriciclaggio viene riclassificato da "medio" a "medio-alto" e si decide di applicare due procedure aggiuntive: rivalutazione dell'UBO della controllata rumena e analisi a campione delle transazioni in contanti sopra EUR 5.000.

Nota di documentazione: nel memo di pianificazione (ISA Italia 300, sezione AML), documentare la nuova classificazione, i fattori che la giustificano (apertura controllata estera, aumento cash), la data dell'ultima due diligence rafforzata sul cliente principale, e la decisione di estendere le procedure all'UBO della controllata rumena.

Passaggio 2 – Identificazione di transazioni a rischio durante l'esecuzione

Durante la revisione del partitario fornitori, il team rileva tre bonifici verso un'entità nuova (un fornitore di materiali isolanti basato in Slovacchia) per EUR 380.000 totali, distribuiti su novembre e dicembre 2024. La documentazione di supporto è scarna: due fatture senza ordine di acquisto associato, e una terza fattura ricevuta via email senza intestazione completa.

Nota di documentazione: aprire una carta di lavoro separata "Identificazione e valutazione del rischio AML – FY2024". Documentare l'identificazione delle transazioni, la data della scoperta, i fattori di rischio rilevati (fornitore nuovo non sottoposto a due diligence, mancanza di ordini di acquisto, paese a media esposizione GAFI), e la procedura di approfondimento applicata.

Passaggio 3 – La complicazione: l'UBO del fornitore slovacco coincide con l'UBO della controllata rumena

Il team chiede al cliente la documentazione completa del fornitore slovacco: certificato camerale equivalente, registro UBO, fatture originali, contratto quadro. Il cliente invia la documentazione. La verifica del registro UBO slovacco (Register of Public Sector Partners) rileva che il beneficiario effettivo del fornitore è la stessa persona fisica che risulta UBO della controllata rumena di Edil Costruzioni. Si tratta di una transazione con parte correlata non dichiarata, oltre a un possibile schema di triangolazione.

A questo punto il senior si trova davanti a una decisione che pesa. Un partner direbbe: l'evidenza è sufficiente per attivare la segnalazione di operazione sospetta (SOS) alla UIF ai sensi dell'art. 35 del D.Lgs. 231/2007, indipendentemente dal completamento dell'incarico di revisione. Un altro partner risponderebbe che prima di segnalare bisogna acquisire conferme aggiuntive e dare al cliente l'opportunità di fornire una spiegazione commerciale legittima (es. accordo intra-gruppo formalizzato che semplicemente non era stato comunicato al revisore). Entrambe le posizioni hanno fondamento. Nei fascicoli che abbiamo gestito su casi analoghi, scegliamo la prima quando i fattori oggettivi (UBO comune, mancanza di documentazione contrattuale, importi significativi rispetto alla materialità) sono già tutti presenti, e la seconda solo se almeno uno dei tre manca. Qui ci sono tutti e tre, quindi la SOS è dovuta.

Nota di documentazione: registrare il sospetto, gli elementi oggettivi che lo supportano, la consultazione interna con il responsabile antiriciclaggio dello studio, la decisione di trasmettere la SOS, e la data di trasmissione. Le procedure post-segnalazione (continuazione dell'incarico vs. recesso) sono regolate dall'art. 42 del D.Lgs. 231/2007 e vanno documentate separatamente.

Passaggio 4 – Effetti sull'opinione di revisione e sul fascicolo

La transazione del fornitore slovacco viene analizzata per gli effetti sul bilancio: l'importo di EUR 380.000 risulta correttamente registrato come acquisto di materiali e l'IVA correttamente liquidata. Non emerge un errore contabile diretto. Tuttavia, la mancata disclosure della parte correlata richiede una rettifica della nota integrativa ai sensi di OIC 12 (e dello IAS 24 se il bilancio fosse in IFRS). Il revisore propone l'integrazione e la direzione accetta. Il fascicolo riporta separatamente: il problema AML segnalato alla UIF, e il problema disclosure rettificato in bilancio. Le due dimensioni restano distinte perché obbediscono a normative diverse.

Conclusione

L'esempio mostra come il D.Lgs. 231/2007 (e per analogia il WWFT olandese) si applichi concretamente sull'incarico. Il rilievo MEF più ricorrente non è che il revisore non abbia rilevato attività di riciclaggio (sarebbe un'eccezione), ma che lo studio non abbia documentato il processo di rivalutazione del rischio anno su anno, o che abbia tickato la casella "rischio medio" senza rivedere i fattori che giustificano la classificazione. Su Edil Costruzioni il file regge perché il team ha riaperto la classificazione, ha rilevato i nuovi fattori di rischio, ha trovato il problema, ha attivato la SOS e la rettifica. È il flusso che le ispezioni cercano.

Cosa rilevano i revisori e le autorità

Il pattern di errore più frequente non è ignorare l'antiriciclaggio. È documentarlo in modo vago o copiato anno su anno.

La classificazione di rischio non giustificata. Il memo di pianificazione dichiara "Rischio AML valutato: Basso" senza giustificazione, benchmarking di settore, o riferimento ai fattori specifici dell'art. 24 D.Lgs. 231/2007 che supportano la valutazione. Le autorità antiriciclaggio (UIF, GdF, MEF nei controlli sugli studi) cercano evidenza che la valutazione sia specifica al cliente e all'industria, non una classificazione standard applicata identica a tutti gli incarichi. Su un settore come l'edilizia, classificare "basso" senza analisi è quasi sempre un rilievo. Va detto: la pressione sui compensi irrisori delle PMI rende difficile dedicare ore alla rivalutazione, ma è esattamente il punto dove le carte non possono essere leggere.

La mancata rivalutazione periodica. Le procedure di due diligence sul cliente (verifica UBO, screening sanzioni, controllo beneficiari effettivi) sono state condotte in fase di accettazione tre anni fa, ma il memo non documenta alcuna rivalutazione successiva. L'art. 22 del D.Lgs. 231/2007 chiede una rivalutazione "periodica e basata sul rischio". Per un cliente con cambio di scenario significativo (acquisizione di nuova linea di business, ingresso in mercato a rischio, aumento dei volumi di transazione), la rivalutazione è dovuta nel momento del cambiamento, non al rinnovo successivo dell'incarico.

La transazione segnalata ma non documentata. Una transazione insolita o ad alto rischio è stata identificata, ma il team ha annotato solo che è stata "verificata con il cliente" senza allegare la documentazione di supporto (fatture originali, certificazioni camerali, contratti, corrispondenza con il cliente, screenshot del registro UBO). Le autorità vogliono vedere non solo che la procedura sia stata eseguita, ma che il supporto sia conservato nel fascicolo per almeno cinque anni dalla cessazione del rapporto, come richiesto dall'art. 31 del D.Lgs. 231/2007.

Relazione con altri concetti

Il D.Lgs. 231/2007 (e per analogia il WWFT) si interseca con — ma non è identico a — diverse aree di revisione.

ISA Italia 240 (Responsabilità del revisore nel rilevare la frode). Una transazione che costituisce riciclaggio può essere anche frode che ricade in ISA Italia 240. La differenza di scopo è netta: ISA Italia 240 si concentra sulla rappresentazione falsa del bilancio, mentre la normativa antiriciclaggio si concentra sulla conformità legale e sulla due diligence AML/CFT. Possono attivarsi entrambe sullo stesso fatto, ma con procedure di documentazione e segnalazione diverse.

ISA Italia 250 (Considerazione delle leggi e dei regolamenti). I requisiti antiriciclaggio sono leggi che il revisore deve considerare ai sensi di ISA Italia 250. La non conformità del cliente al D.Lgs. 231/2007 può costituire una violazione di legge che la revisione contabile potrebbe identificare, anche al di fuori del perimetro tipico della revisione del bilancio.

ISA Italia 550 (Parti correlate). Quando il cliente effettua transazioni con entità non chiaramente identificate o che potrebbero essere parti correlate non dichiarate, la normativa AML chiede la due diligence sulla controparte, e ISA Italia 550 chiede l'identificazione e la disclosure della parte correlata. I due standard si rinforzano: l'AML fornisce il quadro di conformità normativa, ISA Italia 550 fornisce il framework di revisione del bilancio.

Strumento

Non esiste attualmente uno strumento ciferi WWFT. La normativa AML è un requisito di conformità, non un calcolo d'incarico, e gli studi la implementano tramite la propria policy AML/CFT e il responsabile antiriciclaggio interno (figura obbligatoria ai sensi dell'art. 16 del D.Lgs. 231/2007 per studi sopra determinate soglie).

Per gli studi che vogliono standardizzare la documentazione AML nel fascicolo di revisione, si consiglia un template di working paper per la valutazione e la rivalutazione del rischio, integrato nella sezione di accettazione e di pianificazione dell'incarico. Si consulti il fornitore del software di revisione per l'inclusione di un modulo dedicato.

Termini correlati

- AML/CFT (Anti-Money Laundering / Combating the Financing of Terrorism): le procedure che lo studio implementa internamente per identificare e segnalare transazioni sospette e conformarsi alle leggi sulla prevenzione del riciclaggio. - KYC (Know Your Customer): il processo di verifica dell'identità del cliente e della comprensione della natura della sua attività commerciale, componente chiave della due diligence ai sensi del D.Lgs. 231/2007. - UBO (Ultimate Beneficial Owner): la persona fisica che possiede o controlla in ultima istanza il cliente, la cui identità deve essere verificata ai sensi dell'art. 20 del D.Lgs. 231/2007. - Due diligence rafforzata: procedure di verifica aggiuntive applicate ai clienti ad alto rischio, come richiesto dall'art. 24 del D.Lgs. 231/2007 e dalle direttive UE AMLD IV-VI. - Sanzioni internazionali: elenchi di persone, entità e Paesi soggetti a sanzioni finanziarie e commerciali; il controllo è un requisito standard per ogni cliente in fase di accettazione e periodicamente in costanza di rapporto. - SOS (Segnalazione di Operazione Sospetta): comunicazione obbligatoria che il revisore trasmette alla UIF ai sensi dell'art. 35 del D.Lgs. 231/2007 quando rileva indicatori di riciclaggio. - ISA Italia 250 (Considerazione delle leggi e dei regolamenti): lo standard di revisione che disciplina come il revisore affronta i requisiti legali e normativi, inclusa la normativa AML. - ISA Italia 240 (Responsabilità del revisore nel rilevare la frode): lo standard di revisione che disciplina come il revisore affronta il rischio di frode, che può intersecarsi con il rischio AML quando una transazione costituisce sia riciclaggio sia frode di bilancio.

---