Il contributo analizza il tema della certificazione del modello organizzativo (Tax Control Framework) presupposto per accedere al regime dell’adempimento collaborativo (cooperative compliance).
1. Premessa
La riforma dell’adempimento collaborativo ha, tra l’altro, introdotto un elemento nuovo costituito dalla certificazione del modello organizzativo, indispensabile per accedere al regime in questione. Conviene anzitutto richiamare poche nozioni preliminari, necessarie ad intendere una disamina di questo nuovo istituto.
L’art. 3 del D.Lgs. 5 agosto 2015, n. 128[1] offre la possibilità di accedere a un “regime di adempimento collaborativo fra l’Agenzia delle entrate e i contribuenti” (c.d. cooperative compliance) che siano muniti di determinati requisiti soggettivi e oggettivi, e ciò “[a]l fine di promuovere l’adozione di forme di comunicazione e di cooperazione rafforzate basate sul reciproco affidamento tra Amministrazione finanziaria e contribuenti, nonché di favorire nel comune interesse la prevenzione e la risoluzione delle controversie in materia fiscale”.
A parte i requisiti dimensionali dell’impresa, che a regime saranno costituiti da un volume minimo di affari o ricavi di Euro 100 milioni[2] con notevole ampliamento della platea interessata[3], di primaria importanza è un presupposto di natura organizzativa, sul quale possa fondarsi la fiducia dell’Amministrazione nella strutturale capacità dell’impresa di gestire correttamente il “rischio fiscale”, inteso come “rischio di operare in violazione di norme di natura tributaria ovvero in contrasto con i principi o con le finalità dell’ordinamento tributario”, in cambio di un maggior grado di certezza nell’applicazione della normativa tributaria.
Ai sensi dell’art. 4, comma 1, D.Lgs 128/2015, questo requisito organizzativo è costituito dal fatto che l’impresa, “nel rispetto della sua autonomia di scelta delle soluzioni organizzative più adeguate per il perseguimento dei relativi obiettivi”, si doti di “un efficace sistema integrato di rilevazione, misurazione, gestione e controllo dei rischi fiscali anche in ordine alla mappatura di quelli derivanti dai principi contabili applicati dal contribuente, inserito nel contesto del sistema di governo aziendale e di controllo interno” (il c.d. tax control framework – TCF).
L’ingresso dell’impresa nel regime di cooperative compliance comporta, in generale, una forma evoluta e trasparente di dialogo con l’Amministrazione[4], che si inserisce – sono parole della Corte Costituzionale – “nel più ampio contesto dell’evoluzione dei rapporti tra “autorità” e “consenso” e del tentativo di un graduale abbandono, da parte del legislatore tributario italiano, della risalente visione autoritaria del rapporto tra amministrazione finanziaria e contribuente a favore di una progressiva partecipazione di quest’ultimo al procedimento”[5].
Questo rapporto evoluto determina in capo ad ambo le parti (Agenzia delle entrate e contribuente) precisi doveri di trasparenza e collaborazione, di cui all’art. 5[6] del D.Lgs. 128/2015, e produce determinati effetti “premiali”, indicati all’art. 6[7]. Tra questi ultimi, assai rilevanti sono quelli che si fondano su una esauriente disclosure preventiva[8] all’Amministrazione di un determinato rischio fiscale (con la prospettazione e l’osservanza del comportamento ritenuto corretto) e consistono, in chiave di penalty protection, nell’esenzione da sanzioni amministrative di cui al comma 3 e, soprattutto, nell’esclusione del reato di dichiarazione infedele, ai sensi del comma 4; il tutto, ovviamente, “fuori dai casi di violazioni fiscali caratterizzate da condotte simulatorie o fraudolente”[9].
Giova rammentare che la rilevanza dell’elemento di natura organizzativa costituisce il punto di approdo delle progressive elaborazioni in sede OCSE, a partire dal 2008[10], intorno alla cennata evoluzione dei rapporti tra Fisco e contribuenti di rilevanti dimensioni, volta al superamento del tradizionale modello command-and-control in favore di una relazione “rafforzata”, in quanto improntata a collaborazione e reciproca trasparenza. Elaborazioni culminate nel rapporto OECD, Co-operative Compliance: A Framework – from enhanced relationship to co-operative compliance del 2013, ove viene messo a fuoco il fatto che trasparenza e disclosure, dal lato del contribuente, devono poggiare su un definito presupposto organizzativo (o, se si vuole, di governance) che sorregga l’affidabilità del contribuente, costituito appunto dal TCF[11].
In sostanza, si tratta di prendere atto del fatto che il “modo di essere” di un’entità strutturata, come l’impresa, consente una prognosi sul suo “modo di agire”, cioè sui suoi comportamenti in conformità alle norme (nella specie, fiscali). Questa affidabilità, in quanto basata su un robusto e verificabile modello organizzativo, viene espressa in termini di “justified trust”[12].
2. Cenni ai requisiti del TCF
Il TCF costituisce dunque un assetto organizzativo e di governo aziendale, parte di un più ampio sistema di controllo interno e gestione dei rischi[13], volto a presidiare il rischio fiscale. I connotati di questo particolare sistema di controllo interno sono in primo luogo indicati direttamente dalla legge e, in secondo luogo, affidati alla elaborazione in via amministrativa.
Infatti, ai sensi dell’art. 4, comma 1, D.Lgs. 128/2015: “Fermo il fedele e tempestivo adempimento degli obblighi tributari, il sistema deve assicurare: a) una chiara attribuzione di ruoli e responsabilità ai diversi settori dell’organizzazione dei contribuenti in relazione ai rischi fiscali; b) efficaci procedure di rilevazione, misurazione, gestione e controllo dei rischi fiscali il cui rispetto sia garantito a tutti i livelli aziendali; c) efficaci procedure per rimediare ad eventuali carenze riscontrate nel suo funzionamento e attivare le necessarie azioni correttive; c-bis) una mappatura dei rischi fiscali relativi ai processi aziendali”.
Inoltre, ai sensi del comma 1-bis, il TCF deve essere “predisposto in modo coerente con le linee guida di cui al comma 1-quater”, che a sua volta recita: “Le linee guida per la predisposizione di un efficace sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale e del suo aggiornamento sono indicate con provvedimento del direttore dell’Agenzia delle entrate”, poi concretamente adottato con provvedimento del 10 gennaio 2025 (di seguito: “Linee Guida”)[14], anche al dichiarato fine di consentire una certa standardizzazione del sistema stesso (in luogo di un modello “aperto”) e dei criteri per la sua valutazione. A loro volta, le Linee Guida fanno riferimento anche a standard di best practice elaborati a livello internazionale, con riguardo al sistema di controllo interno sia in generale, sia con riguardo alla compliance fiscale, come si vedrà meglio oltre, trattando dei parametri utili alla certificazione (par. 6).
In realtà, tra i requisiti di legge e le indicazioni delle Linee Guida si frappone il D.M. 6 dicembre 2024, dedicato ai “Requisiti soggettivi e oggettivi di accesso al regime di adempimento collaborativo”, che, elevando al rango di norma giuridica precedenti di prassi[15], offre una prima specificazione degli elementi essenziali del TCF.
3. La certificazione come ipotesi di validazione ex ante di un modello organizzativo
Dopo avere sopra sinteticamente richiamato le fonti per identificare i connotati del TCF, occorre soffermarsi sull’ulteriore requisito, costituito dalla sua “certificazione”.
Infatti, ai sensi del già citato art. 4, comma 1-bis, D.Lgs. 128/2015, il TCF “deve essere certificato, anche in ordine alla sua conformità ai principi contabili, da parte di professionisti indipendenti già in possesso di una specifica professionalità iscritti all’albo degli avvocati o dei dottori commercialisti ed esperti contabili”.
Si pone qui il tema dell’assessment del modello organizzativo costituito dal TCF, peraltro già posto in rilievo dall’OCSE, come elemento atto a corroborare la fiducia (justified trust) nelle buone attitudini del contribuente, attraverso la verifica dell’idoneità ed effettività dell’apparato alle spalle dei comportamenti dovuti. Al riguardo, il citato Report OCSE del 2013 affermava: “Basing the relationship on an explicit and objective assessment of the taxpayer’s ability and willingness to provide the necessary disclosure and transparency (the TCF) means that it is and can be seen to be based on justified trust and empirical evidence” (p. 87).
Il profilo dell’assessment è poi ripreso e sviluppato dall’OCSE in un successivo documento del 2016 (Co-operative Tax Compliance: Building Better Tax Control Frameworks”), che invero fa riferimento a una verifica dell’esistenza ed effettività del TCF operata dall’amministrazione (“The integrity and robustness of a well-designed and effective TCF that has been tested by the revenue body is empirical evidence that underpins the “justified” trust in a taxpayer, and in return the revenue body can provide certainty on the disclosed tax positions”: p. 14) e dedica un apposito Capitolo 3 al tema “Assessing and testing Tax Control Frameworks”[16].
Nel recepire questa esigenza di un assessment “esterno” all’impresa, il nostro legislatore, parallelamente al notevole ampliamento del novero dei soggetti potenzialmente aderenti al regime di adempimento collaborativo (e, sembra, proprio per consentire al sistema di reggere a tale diffusione), ha ritenuto, da un lato, di procedere ad una standardizzazione del TCF tramite le citate Linee Guida e, dall’altro, di affidare a professionisti indipendenti la attestazione della sua conformità a predeterminati parametri e della sua effettività, superando la validazione prima operata dalla sola Agenzia delle entrate[17].
Questo spiega perché la certificazione, indicata dalla legge delega di riforma come una “possibilità”[18], nel decreto delegato (D.Lgs. 30 dicembre 2023, n. 221, che ha innovato il D.Lgs. 128/2015 nel senso sopra visto) diventa un requisito indispensabile (“deve essere certificato”), dunque (non un vero e proprio obbligo, ma) un preciso onere per chi intenda accedere al regime.
Ora, il concetto di “validazione” non è sconosciuto ad altri ambiti del diritto in cui si discorre di un modello organizzativo volto alla prevenzione di determinati rischi, primo fra tutti quello di cui al D.Lgs. 8 giugno 2001, n. 231 che, come noto, affida la prevenzione del rischio di commissione di determinati reati (tra i quali, si rammenta, anche alcuni reati tributari) proprio ad un idoneo “modello di organizzazione e gestione” (“MOG 231”). Anzi, proprio sul terreno della c.d. compliance penale e dei relativi compliance programs, che trovano espressione appunto nel D.Lgs. 231/2001, la dottrina penalistica ha sviluppato approfondite riflessioni anche in chiave comparatistica[19].
Nell’ambito di tali indagini, si è osservato che “nel contesto del ‘decreto 231’, si usa parlare di ‘validazione del modello organizzativo’ per indicare, in via principale, il formale riconoscimento dell’attitudine di tale strumento a prevenire reati della specie di quello verificatosi, evocando – dato che questa è la funzione portante del compliance program nel sistema italiano – il vaglio di idoneità/efficacia del modello organizzativo che si attua in sede giudiziale”[20]. Quindi, una volta definita la validazione in generale in termini ampi, come “l’attestazione della capacità del compliance program di conseguire gli obiettivi che, in un certo sistema giuridico, la normativa o la prassi consentono a esso di raggiungere”, ne viene proposta una tassonomia[21], che qui semplifichiamo, a seconda (a) della fase in cui la validazione stessa si realizza (endo-processuale o extra-processuale); (b) della natura (pubblica o privata) del soggetto cui è demandata; (c) degli standard o parametri di valutazione (hard o soft law); (d) del momento in cui avviene (anticipata o postuma, rispetto alla commissione del reato).
Mentre la valutazione (di idoneità ed efficace attuazione) del MOG 231 interviene necessariamente ex post, in sede giudiziale, l’idea di una verifica del modello organizzativo, più vicina ad una validazione ex ante, affiora in materia di sicurezza sul lavoro, laddove il D.Lgs. 9 aprile 2008, n. 81, all’art. 30 prevede che il MOG 231 “deve essere adottato ed efficacemente attuato, assicurando un sistema aziendale per l’adempimento di tutti gli obblighi giuridici”, ivi elencati, di interesse per la materia[22], e che “In sede di prima applicazione, i modelli di organizzazione aziendale definiti conformemente alle Linee guida UNI-INAIL per un sistema di gestione della salute e sicurezza sul lavoro (SGSL) del 28 settembre 2001 o alla norma UNI EN ISO 45001:2023+A1: 2024 si presumono conformi ai requisiti di cui al presente articolo per le parti corrispondenti”. Al riguardo, ai sensi dell’art. 51, comma 3-bis, l’impresa può chiedere a certi “organismi paritetici”[23] il rilascio di una attestazione relativa alla “asseverazione della adozione e della efficace attuazione dei modelli di organizzazione e gestione della sicurezza di cui all’articolo 30, della quale gli organi di vigilanza possono tener conto ai fini della programmazione delle proprie attività”.
In tutt’altro ambito, si può menzionare il fatto che la legislazione doganale prevede l’attribuzione, sulla base di verifiche riguardanti anche l’affidabilità dell’organizzazione ai pertinenti fini, dello status particolare di “Operatore Economico Autorizzato”, il quale beneficia di un trattamento agevolato rispetto ad altri operatori economici, in ordine ai controlli previsti da questa normativa: v. art. 39 del Codice Doganale Unionale (Reg. UE n. 952/2013). Anche qui si assiste ad una qualche asseverazione preventiva di un requisito organizzativo.
Ispirandosi (liberamente) alla classificazione sopra accennata, può dirsi che la certificazione del TCF presenta i caratteri di una validazione del modello di natura privata, basata su standard ibridi hard (legge, norme secondarie) e soft (Linee Guida e relative indicazioni di prassi amministrativa e best practices internazionali), posta in essere necessariamente in via preventiva rispetto al verificarsi del rischio che si intende presidiare.
Ciò detto, sembra che con la certificazione del TCF il legislatore abbia raccolto istanze volte alla validazione ex ante che pure si erano affacciate con riguardo al “modello di organizzazione e gestione 231”[24], e forse potrebbe fare da guida anche per ulteriori evoluzioni su questo terreno.
Si può peraltro osservare che, allo stato attuale, se si considera la necessaria integrazione tra i diversi sistemi di controllo, il rischio di una determinata violazione fiscale a rilevanza penale (dichiarazione infedele) potrebbe risultare correttamente presidiato con appropriate procedure e misure di controllo nel sistema di controllo interno e gestione dei rischi dell’impresa, con una duplice valenza, in presenza degli altri presupposti di legge: (i) come parte del “modello 231” con effetto esimente della responsabilità della società, a valle di una validazione ex post in sede giudiziale; (ii) come parte del TCF – grazie alla sua certificazione (validazione ex ante) e a una corretta “comunicazione di rischio” ai sensi di legge – con effetto di esclusione del reato in capo alle persone responsabili.
4. I requisiti “generali” dei certificatori: onorabilità e professionalità …
Dopo aver posto il requisito della certificazione, il D.Lgs. 128/2015 (art. 4, comma 1-ter) demanda a un regolamento ministeriale la disciplina dei requisiti dei professionisti abilitati al suo rilascio, nonché dei loro compiti e adempimenti “prevedendo che, per il rilascio della predetta certificazione, gli stessi possono avvalersi dei consulenti del lavoro per le materie di loro competenza, fermo restando che la certificazione deve essere sottoscritta dai professionisti di cui al comma 1-bis”.
In sede di attuazione, il D.M. 24 novembre 2024, n. 12 (“Decreto Certificazioni”) ha stabilito che la relativa attività è “riservata ai soggetti iscritti nell’apposito elenco tenuto dal Consiglio nazionale forense e dal Consiglio nazionale dei dottori commercialisti e degli esperti contabili, rispettivamente per gli avvocati e per i commercialisti, secondo il regolamento di cui gli stessi dovranno dotarsi”.
Il Decreto Certificazioni precisa i requisiti dei certificatori in termini di onorabilità, professionalità e indipendenza. I primi due condizionano l’iscrizione del professionista nell’elenco, e possono dunque dirsi “generali”, mentre il terzo si declina in relazione al soggetto che conferisce un determinato incarico di certificazione e quindi, in questo senso, è “specifico”.
In generale, va premesso che mentre la professionalità, una volta conseguita, viene attestata una tantum (come infra indicato), gli altri due requisiti devono sussistere per tutto il periodo tra l’assunzione dell’incarico e il rilascio della certificazione, pena la decadenza dall’incarico (art. 5, comma 2 Decreto Certificazioni). L’assenza anche di uno solo dei tre requisiti, invece, rende la certificazione “infedele” ai sensi dell’art. 4, comma 1-bis, D.Lgs. 128/2015, come si dirà meglio oltre (par. 8).
L’onorabilità è declinata dall’art. 2, comma 1, quale assenza di precedenti penali per determinati reati, di cause di decadenza, sospensione o divieto previste dalla legislazione antimafia e di cause di ineleggibilità e decadenza previste per gli amministratori di società di capitali.
La professionalità è costituita dal “possesso di competenze e capacità professionali, anche basate sui più recenti sviluppi della normativa, della tecnica e della prassi professionale, in materia di: a) sistemi di controllo interno e di gestione dei rischi; b) principi contabili applicati dal soggetto incaricante nei periodi oggetto della certificazione; c) diritto tributario” (art. 2, comma 2). Ai sensi del comma 3 tali competenze vanno attestate dall’Ordine professionale di appartenenza, rispettivamente, degli avvocati e dei dottori commercialisti ed esperti contabili ed è rimessa ai rispettivi Consigli nazionali, di concerto con MEF e Agenzia delle entrate, l’individuazione delle modalità e dei percorsi formativi per il rilascio dell’attestazione.
Detto concerto è stato attuato con Protocollo d’intesa dell’11 aprile 2024, con cui si è stabilito che l’iscrizione all’elenco (distinto in due sezioni tenute dai rispettivi Consigli nazionali e reso pubblico sul sito istituzionale dell’Agenzia delle entrate) presuppone la partecipazione a percorsi formativi, suddivisi in tre moduli relativi agli ambiti di competenza sopra richiamati, con relativi test di valutazione, attestati dai rispettivi Consigli nazionali[25]. Sono poi previsti casi di esonero, totale o parziale, da percorsi formativi e relativi test [26].
5. … e il requisito “specifico” dell’indipendenza
Il Decreto Certificazioni, all’art. 6, disciplina accuratamente il requisito dell’indipendenza del certificatore, anzitutto prescrivendo che egli “deve essere indipendente dal soggetto che ha conferito l’incarico e non deve essere in alcun modo coinvolto nel suo processo decisionale” (comma 1) e “deve adottare tutte le misure ragionevoli per garantire che la propria indipendenza non risulti influenzata da alcun conflitto di interessi, anche soltanto potenziale, o da relazioni d’affari o di altro genere, dirette o indirette” (comma 2). Prescrizioni generali, queste, che chiaramente si ispirano a quelle dettate per il revisore legale[27], anche se la similitudine con questo va presa con prudenza[28]. Anche le norme di comportamento del collegio sindacale affrontano il tema dell’indipendenza, con indicazioni che pure possono essere tenute presenti[29].
Seguono disposizioni di dettaglio o, meglio, strumentali al rispetto delle suddette prescrizioni, che riguardano diversi aspetti, i quali condizionano sia l’accettazione dell’incarico sia condotte anche successive e sono volti a preservare una “alienità” del certificatore sia, per così dire, “strutturale”, cioè nei riguardi sia del soggetto che chiede la certificazione, sia “funzionale”, rispetto al lavoro di predisposizione del TCF.
Il profilo dei rapporti con la società che conferisce l’incarico enunciato dal già citato comma 1 dell’art. 4 Decreto Certificazioni (e a parte i rapporti partecipativi, radicalmente esclusi, come si vedrà, dal comma 4), è sviluppato nel comma 3, lettere da a) a e), laddove si individuano situazioni impeditive con riguardo alla posizione del certificatore rispetto alla società incaricante e al gruppo di appartenenza (controllanti, controllate o sottoposte a comune controllo), partendo dalle più ovvie, quali l’appartenenza a organi di amministrazione o controllo (lettera a) o relazioni familiari (coniuge, parente o affine entro il quarto grado) con chi rivesta simili cariche (lettera b), per poi estendersi a chi nei due anni precedenti sia stato legato al gruppo “da rapporti di lavoro autonomo o subordinato ovvero da altri rapporti di natura patrimoniale che ne compromettano l’indipendenza” (lettera c) e a chi abbia con il professionista le relazioni familiari suddette, tali da comprometterne l’indipendenza (lettera d).
Al di là di questi contorni più definiti, la lettera e) del comma 2 amplia lo sguardo, ponendo una situazione impeditiva quando “sussistono rischi di interesse personale o connessi a rapporti di familiarità ovvero a forme di intimidazione determinati da relazioni finanziarie, personali, d’affari, di lavoro o di altro genere instaurate con il soggetto incaricante, o con qualsiasi persona fisica in grado di influenzare l’esito della certificazione, la cui sussistenza potrebbe indurre a ritenere che l’indipendenza del professionista abilitato risulti compromessa”.
Si tratta, evidentemente, di una clausola generale, volta a catturare i “rischi di interesse personale”, che abbraccia anche situazioni più ampie dei rapporti di lavoro autonomo o subordinato (“relazioni finanziarie, personali, d’affari, di lavoro o di altro genere”) per estendersi “a rapporti di familiarità ovvero a forme di intimidazione”[30] riferiti in primo luogo al soggetto incaricante (si noti, non al gruppo), comunque tali da compromettere anche in via ipotetica l’indipendenza del certificatore. Si osserva, poi, che la compromissione dell’indipendenza va apprezzata anche guardando ai rapporti del certificatore “con qualsiasi persona fisica in grado di influenzare l’esito della certificazione”, il che sembra travalicare i confini del mondo imprenditoriale intorno al soggetto incaricante.
Nell’ambito delle “relazioni finanziarie” possono farsi rientrare anche i rapporti partecipativi o di investimento, inibiti al certificatore in modo particolarmente severo dal comma 4 dell’articolo 4 in commento, che vieta al professionista di “detenere strumenti finanziari emessi, garantiti o altrimenti oggetto di sostegno” da parte del soggetto che richiede la certificazione o dal relativo gruppo come sopra inteso. Il certificatore deve, altresì, “astenersi da qualsiasi operazione su tali strumenti e non deve avere sui medesimi strumenti alcun interesse beneficiario rilevante e diretto, salvo che si tratti di interessi detenuti indirettamente attraverso regimi di investimento collettivo diversificati, compresi fondi gestiti, quali fondi pensione o assicurazione sulla vita”.
Passando al profilo “funzionale” dell’indipendenza, il Decreto Certificazioni, all’art. 4, comma 2, lettera f) inibisce al professionista di accettare l’incarico di certificazione se “sussistono rischi di autoriesame”. Si vuole, in sostanza, evitare che in qualche modo che egli finisca col validare il proprio stesso operato, principio in sé condivisibile in quanto la commistione tra chi fa e chi valuta ovviamente influenza quest’ultimo con un bias favorevole. La disposizione procede poi ritenendo tale rischio sussistente “in particolare, nei casi in cui il professionista abilitato, ovvero un altro professionista legato da rapporti di collaborazione professionale, anche occasionali, con la medesima società o associazione tra professionisti con cui collabora, a qualunque titolo, o a cui è associato il professionista abilitato, abbia reso servizi funzionali alla elaborazione del sistema integrato di rilevazione, misurazione, gestione e controllo dei rischi fiscali adottato dal soggetto che ne ha richiesto la certificazione ovvero abbia assunto un ruolo di responsabilità nell’ambito del sistema integrato stesso”.
Il riferimento, in fine, al “ruolo di responsabilità” nell’ambito del TCF probabilmente allude all’ipotesi in cui l’impresa, ricorrendo determinate condizioni, si sia avvalsa della facoltà di esternalizzare la funzione di controllo di secondo livello (Tax Risk Manager)[31].
Nel merito, sembra che la previsione in esame scorga una minaccia alla alienità funzionale del certificatore in una relazione definita in termini molto ampi dal punto di vista soggettivo, guardando non solo al professionista da incaricare ma anche alla realtà professionale in cui (o con cui) egli operi, come socio o come collaboratore.
Anche in termini oggettivi, disposizione in questione si esprime in modo invero generico, laddove chiede l’estraneità del certificatore (e delle altre persone ivi indicate) rispetto al professionista “che abbia reso servizi funzionali alla elaborazione” del TCF del committente. Pare, peraltro, dubbio che possa minare l’indipendenza del certificatore il fatto di avere rapporti di collaborazione professionale da cui tragga servizi, pur “funzionali alla elaborazione” del TCF, ma che per contenuto o modalità comunque non implichino scelte di conformazione del TCF che il certificatore sarà poi chiamato a valutare.
Esaminato il tema dei rischi di autoriesame, resta da accennare a due aspetti che si riflettono sull’indipendenza del certificatore, costituiti dai limiti temporali degli incarichi e dalla modalità di remunerazione.
Quanto al primo aspetto, il comma 5 dell’art. 4 del Decreto Certificazioni prevede anzitutto che “L’incarico per la certificazione può essere conferito al professionista da parte della medesima impresa per non più di tre volte consecutive”, così affrontando quello che si può indicare come rischio di familiarità del certificatore. Considerata la durata triennale della certificazione, la disposizione non distingue espressamente tra certificazioni da effettuare in via ordinaria, cioè la prima e quelle di aggiornamento alla fine di ciascun triennio, ai sensi dell’art. 7, comma 6, da quelle, per così dire, “straordinarie” richieste dal successivo comma 7, secondo cui: “Ove nel periodo di validità della certificazione si verifichino modifiche organizzative tali da richiedere il complessivo aggiornamento del sistema integrato di rilevazione, misurazione, gestione e controllo dei rischi fiscali, deve essere prodotta una nuova certificazione”. Peraltro, se la ratio, come sembra, è quella limitare il periodo di “prossimità” del certificatore all’impresa, allora pare corretto interpretare la norma guardando al riferimento temporale sotteso ai tre incarichi ordinari (che coprono complessivamente nove anni), piuttosto che al numero in concreto di incarichi di certificazione (anche “straordinaria”). Diversamente, il professionista che dopo un anno dalla prima certificazione dovesse rilasciarne una nuova e “straordinaria” ai sensi del comma 7, dovrebbe poi limitarsi a prestare la propria opera per un solo aggiornamento “ordinario”, perché a quel punto avrebbe raggiunto le tre certificazioni consecutive, avendo coperto un periodo di sette anni, anziché nove.
Va segnalato poi che, ancora ai sensi del comma 5, l’effetto preclusivo (per “rischio di familiarità”) sull’accettazione di nuovi incarichi dalla medesima impresa dura sei anni dall’ultima certificazione consecutiva e, soprattutto, che tale effetto si propaga in qualche modo all’interno della cerchia professionale del certificatore, riguardando anche “un altro professionista legato da rapporti di collaborazione professionale, non occasionali, con la medesima società o associazione tra professionisti, con cui collabora, a qualunque titolo, o a cui è associato il professionista abilitato”. Si tratta, a ben vedere, di un insieme di persone paragonabile a quello da prendere in considerazione ai fini del “rischio di autoriesame” sopra illustrato (ai sensi dell’art. 4, comma 3, lettera f)), con due rilevanti differenze. Ai fini del rischio di familiarità, infatti: (i) non rileva che le persone in questione abbia o meno “reso servizi funzionali alla elaborazione” del TCF”, e quindi la preclusione deriva dalla mera posizione del collaboratore e non anche dall’attività in concreto svolta; (ii) rilevano esclusivamente le collaborazioni professionali “non occasionali”.
Un ulteriore limite all’attività successiva del certificatore (e degli altri professionisti sopra indicati) riguarda altre forme di collaborazione in favore di chi assuma l’incarico di certificazione di un determinato TCF durante il periodo di sei anni in cui il primo se ne deve astenere. Tale limite è posto dall’art. 4, comma 6 e se ne tratterà oltre (par. 5, in fine), dove si avrà modo di meglio identificare queste altre forme di collaborazione col certificatore (che, per il momento, possiamo indicare come “esterne”).
L’ultimo profilo che tocca l’indipendenza del certificatore riguarda, come si diceva, la sua remunerazione, a cui è dedicato il comma 7 dell’art. 6, Decreto Certificazioni, secondo il quale: “Il corrispettivo del professionista abilitato non può essere subordinato ad alcuna condizione, né può essere stabilito in funzione degli esiti dell’attività di certificazione”. E’ infatti evidente il rischio di conflitto d’interesse in capo al certificatore, considerato il suo ruolo di validazione esterna del TCF, ove il suo compenso venisse condizionato alla soddisfazione della società incaricante su come egli svolge la propria attività o, ancor peggio, sull’esito della stessa. Tale è l’immunità da influenze voluta dalla norma, che essa si spinge a disciplinare restrittivamente gli eventuali inducements, prevedendo che “I professionisti non possono sollecitare o accettare regali o favori, di natura pecuniaria o non pecuniaria, dal soggetto che richiede la certificazione, dalle società da questo controllate, dalle società che lo controllano o da quelle sottoposte a comune controllo, salvo il caso di regali o altre utilità di modico valore. Ai fini del presente comma, si intendono di modico valore i regali o le altre utilità di valore non superiore a centocinquanta euro, anche sotto forma di sconto”.
Conviene ora spendere alcune considerazioni a conclusione del discorso sull’indipendenza del certificatore.
Una prima osservazione è che, una volta rispettati scrupolosamente i criteri, sopra richiamati, a presidio dell’indipendenza, va forse fugata l’impressione che il certificatore debba astenersi da ogni forma di interazione con l’impresa che predispone il TCF. Nei fatti, l’incarico di certificazione si troverà ad essere conferito prima del compiuto perfezionamento del sistema di controllo e un qualche costruttivo confronto – ferma la netta distinzione di ruoli e l’assenza di “interesse personale” del certificatore normativamente richiesta – potrebbe giovare all’economia del processo e alla migliore conformazione del sistema. L’importante, sembra, è che il certificatore non si trovi “in alcun modo coinvolto nel processo decisionale” dell’impresa, come vuole l’art. 4, comma 1, Decreto Certificazioni. Ad esempio, le stesse linee guida dell’Agenzia delle entrate in materia di certificazione, di cui si dirà oltre, prevedono che il professionista valuti, tra l’altro che “i rischi fiscali dell’impresa siano stati adeguatamente mappati (suggerendo, se del caso, eventuali integrazioni alla mappa dei rischi fiscali di adempimento)” (p. 38). Un’ispirazione può essere anche data dalle proficue interazioni che notoriamente avvengono tra la società che redige il bilancio e i soggetti incaricati della sua revisione, senza ledere l’integrità dei loro giudizi.
Una seconda notazione è che quello della carenza di indipendenza è, in definitiva, un vero e proprio “rischio” riguardante l’attività professionale del certificatore (così come, mutatis mutandis, il rischio fiscale è attinente all’attività d’impresa). Esso è presidiato da diverse regole, sopra rassegnate, essenzialmente declinate “in negativo”, in quanto volte a evitare situazioni che strutturalmente possano minacciare l’indipendenza. Essendo difficile definire e disciplinare l’integrità di giudizio di una persona, la regola di chiusura non può che limitarsi, “in positivo”, a chiedere al certificatore di “adottare tutte le misure ragionevoli per garantire che la propria indipendenza non risulti influenzata da alcun conflitto di interessi, anche soltanto potenziale, o da relazioni d’affari o di altro genere, dirette o indirette” (art. 4, comma 2, Decreto Certificazioni). Come ogni rischio, ed a maggior ragione quando si coinvolge anche un’attitudine mentale, non si può pretendere che esso venga assolutamente azzerato ex ante, ma si può certamente chiedere che venga presidiato con “misure ragionevoli”. Ed infatti, lo stesso Decreto Certificazioni, laddove si occupa dell’attività preparatoria allo svolgimento dell’incarico, chiede al professionista di valutare e documentare, tra l’altro, “l’eventuale presenza di rischi per la sua indipendenza e, nel caso, l’eventuale adozione di misure idonee per mitigarli” (art. 5, comma 1, lettera b)[32].
Terza ed ultima considerazione riguarda il fatto che la figura del professionista abilitato, anche considerata l’articolazione della sua attività e la necessità di sintetizzare competenze diverse, non è postulata come quella di un individuo necessariamente isolato, benché egli solo sia chiamato a (redigere e) sottoscrivere la certificazione (ex art. 4, comma 1-bis, D.Lgs. 128/2015). Anzi, diversi tratti di disciplina considerano il contributo di altri professionisti all’attività preparatoria della certificazione.
(a) Tale aspetto emerge in primo luogo, come visto sopra, laddove il Decreto Certificazioni attribuisce rilevanza all’aggregazione professionale (associazione o società tra professionisti) in cui (o con cui) il certificatore operi, ravvisando ora un rischio “di autoriesame” ove un collaboratore (anche occasionale) abbia reso servizi funzionali alla elaborazione del TCF ovvero abbia assunto un ruolo di responsabilità nell’ambito dello stesso (art. 4, comma 3, lettera f)), ora un rischio “di familiarità” in capo al collaboratore (non occasionale), estendendogli la preclusione per sei anni ad una nuova attività di certificazione per lo stesso committente (art. 4, comma 5).
(b) In secondo luogo, lo stesso Decreto Certificazioni prende atto che l’attività in questione richiede competenze professionali composite attingibili da altri soggetti quando, all’art. 6, comma 10, prevede che il certificatore “può avvalersi delle competenze e delle capacità professionali di altri professionisti”, avvocati o commercialisti: dunque, non solo dei consulenti del lavoro espressamente menzionati dalla legge “per le materie di competenza” (come peraltro ribadito dalla disposizione regolamentare in esame). Questi professionisti:
- ai sensi dello stesso comma 10 dell’art. 6, devono possedere gli stessi requisiti di onorabilità (ex art. 2, comma 1) e indipendenza (ex art. 4) dei certificatori, sopra illustrati;
- ai sensi del comma 11 dell’art. 6, sono soggetti alle disposizioni di cui all’articolo 4, comma 5: si tratta del richiamo espresso a quella parte dell’articolo dedicato all’indipendenza (invero, già sopra richiamato per intero), riguardante in particolare, in tema di rischio “di familiarità”, il limite temporale (pari a tre certificazioni consecutive) degli incarichi del certificatore (si noti, peraltro, che tale limite risulta già esteso dallo stesso comma 5 alle persone di cui al precedente punto (a));
- ancora ai sensi del comma 11, nel corso del periodo di sei anni successivi all’esaurimento del limite temporale anzidetto (di cui all’art. 4, comma 5), non possono accettare l’incarico per la certificazione da parte della medesima impresa.
La distinzione tra i soggetti sub (a) e quelli sub (b) merita di essere evidenziata.
Quelli sub (a) (considerati dall’art. 4) sono legati da rapporti di collaborazione professionale con la medesima aggregazione professionale (società o associazione) a cui il certificatore è associato o con cui collabora “a qualunque titolo”. La circostanza che questi – anche se la collaborazione sia occasionale – abbiano reso “servizi funzionali alla elaborazione” del TCF di una data impresa (o abbiano assunto ruoli di responsabilità nell’ambito di quel TCF) determina una situazione rilevante sotto il profilo del rischio “di autoriesame” di cui all’art. 4, comma 3, lettera f). Ove invece la collaborazione professionale sia non occasionale, detti collaboratori sono per ciò solo attratti alla preclusione a nuovi incarichi di certificazione stabilita, a tutela del rischio “di familiarità”, dall’art. 4, comma 5.
I professionisti sub (b) (considerati dall’art. 6, comma 10), invece, sono i soggetti delle cui competenze e capacità professionali il certificatore “può avvalersi”. Qui entra in gioco non la trama di collaborazioni che fanno riferimento alla società o associazione professionale di pertinenza del certificatore, ma i professionisti di cui il certificatore decida di avvalersi nell’organizzare la propria attività, necessariamente complessa. Non a caso, a questi fa riferimento la norma che, nel disciplinare l’attività preparatoria allo svolgimento dell’incarico, chiede al certificatore di valutare e documentare, tra l’altro, “l’affidabilità organizzativa e tecnica, anche in termini di disponibilità di tempo e risorse necessari per svolgere in modo adeguato l’incarico di certificazione, oltre che in termini di competenze professionali, anche sulla base di quanto previsto dall’articolo 6, comma 10” (art. 5, comma 1, lettera c) del Decreto Certificazioni).
Dunque, i professionisti sub (b) possono essere definiti come collaboratori “esterni” del certificatore, scelti da questo per arricchire e completare l’ambito di competenze e capacità in concreto necessarie (si pensi ai diversi settori industriali in cui può operare l’impresa) per l’attività di certificazione di un dato TCF. Questi – a differenza dei collaboratori che ricadono nei rapporti sub (a), che a questo punto possiamo dire “interni” (o, almeno, “prossimi”)[33] – devono essere dotati di propri requisiti di onorabilità e indipendenza (la professionalità la valuterà chi è responsabile della certificazione) e della loro scelta andrà data evidenza nella auto-valutazione del compendio di risorse necessarie al certificatore.
A questo punto può darsi conto di una interferenza tra le due categorie di professionisti, che emerge laddove l’art. 4, trattando del periodo di astensione successivo del certificatore a presidio del rischio “di familiarità”, preclude ai collaboratori “interni” non occasionali non solo l’attività diretta di certificazione (comma 5), ma anche la collaborazione “esterna” con un nuovo certificatore, impedendo loro di “collaborare, per le finalità di cui all’articolo 6, comma 10, con il professionista successivamente incaricato al rilascio della certificazione da parte della medesima impresa”.
6. L’attività di certificazione: la “reasonable assurance” e i relativi parametri
Non molto spazio è rimasto, nelle presenti note, per addentrarsi nei contenuti dell’attività di certificazione. Sono però possibili alcuni cenni e considerazioni generali.
Il Decreto Certificazioni dedica l’art. 6 ai “Compiti e adempimenti del professionista abilitato”, stabilendo che egli “è tenuto ad attestare” che il TCF: (i) in primo luogo “risponde ai requisiti di cui al decreto legislativo 5 agosto 2015, n. 128” (nonché alle norme secondarie: v. il citato D.M. 6 dicembre 2024, avente ad oggetto i “Requisiti soggettivi e oggettivi di accesso al regime di adempimento collaborativo”; (ii) in secondo luogo, “è impostato in modo coerente” con le Linee Guida di cui si è detto sopra (par. 2).
Il fine è di fornire “una ragionevole certezza riguardo alla gestione consapevole e affidabile della gestione della variabile fiscale da parte dell’impresa”.
La “certezza” richiama uno dei “building blocks” del TCF indicati dal documento OCSE del 2016 “Co-operative Tax Compliance: Building Better Tax Control Frameworks”, denominato “Assurance Provided”, vale a dire l’idoneità del TCF ad offrire conforto sulla capacità strutturale dell’impresa di tenere sotto controllo i rischi fiscali e di produrre dichiarazioni affidabili (caratteristica che, una volta validata dall’esterno, fonda la c.d. justified trust che permea la cooperative compliance).
Tale certezza deve essere “ragionevole”. Al riguardo, il risultato di assurance – termine seccamente utilizzato dal citato documento OCSE – risulta invece opportunamente circostanziato nei principi generali in materia di controllo interno. Infatti, COSO Internal Control – Integrated Framework del 2013 definisce l’Internal Control come un processo volto a fornire “reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance”. L’aggettivo “ragionevole” viene spiegato, in contrapposizione ad “assoluto” in questi termini (a p. 4): “The term “reasonable assurance” rather than “absolute assurance” acknowledges that limitations exist in all systems of internal control, and that uncertainties and risks may exist, which no one can confidently predict with precision. Absolute assurance is not possible” (enfasi aggiunta). E l’intero Cap. 10 (pp. 157 ss.) del documento è dedicato, appunto, alle “Limitations of Internal Control”, ove si chiarisce che la probabilità di raggiungimento degli obiettivi resta influenzata da limitazioni inerenti a qualunque sistema di controllo interno, che includono: “the realities that human judgment in decision making can be faulty, external events outside the organization’s control may arise, and breakdowns can occur because of human failures such as making errors. Additionally, controls can be circumvented by two or more people colluding, and because management can override the system of internal control”.
Ciò detto, si può dare conto del fatto che il Decreto Certificazioni, per le finalità sopra richiamate, da un lato (art. 6, commi 2 e ss.), indica i compiti del certificatore con un primo grado di dettaglio e, dall’altro (art. 6, comma 12), rinvia alle Linee Guida, (già previste dall’art. 4, comma 1-quater D.Lgs. 128/2015 per la conformazione del TCF), estendendone la portata anche alla stessa attività di certificazione, in particolare per indicare la metodologia di valutazione da utilizzare ai fini del rilascio della stessa e per il suo periodico adeguamento.
In breve, l’art. 6, comma 2, Decreto Certificazioni richiede di valutare: (i) con riferimento ai processi di controllo relativi alla generalità dei rischi fiscali (c.d. company level), “che l’insieme delle regole, delle procedure e delle strutture organizzative e relative responsabilità operative volte ad assicurare l’efficiente ed efficace gestione del processo di rilevazione, misurazione, gestione e controllo del rischio fiscale, rispetti i requisiti previsti al comma 1”, sopra richiamati; (ii) con riferimento ai processi di controllo volti a mitigare singoli rischi (c.d. activity level), “che i controlli approntati dall’impresa forniscano una adeguata garanzia di efficace gestione dei rischi contenuti nella mappa dei rischi fiscali” prevista come elemento essenziale del TCF.
Ciascuna delle due valutazioni deve passare attraverso tre fasi di approfondimento, e precisamente: (a) la definizione del perimetro di analisi, cioè l’identificazione dei processi di controllo chiave, generali e specifici, per la prevenzione dei rischi fiscali; (b) la valutazione dell’impostazione del sistema, cioè che il disegno dei processi di controllo selezionati risponda ai requisiti di cui all’art. 6, comma 1 (c.d. Test of Design); e (c) la valutazione di efficacia operativa del sistema, volta a verificare che detti controlli abbiano operato in maniera continuativa e siano stati effettivamente svolti in maniera corretta (c.d. Test of Effectiveness). Le prime due vanno effettuate al momento della prima certificazione del TCF e la terza in fase di aggiornamento triennale[34].
Tutte queste indicazioni risultano sviluppate e dettagliate nelle Linee Guida inizialmente emanate con Provvedimento del Direttore dell’Agenzia delle entrate del 10 gennaio 2025, una parte del quale, come detto, è dedicata proprio all’attività in esame (pp. 34 ss.: “Linee Guida Certificazioni”), che appunto intervengono a descrivere “una metodologia di valutazione dei sistemi di controllo, sulla base delle indicazioni normative e delle “best practices” internazionali, che potrà essere validamente utilizzata ai fini della certificazione del TCF e del suo periodico aggiornamento” (p. 34).
Di rilievo è la ricognizione, operata nelle stesse Linee Guida Certificazioni, delle “Fonti utilizzate”, chiarendo (a p. 35) che: “Nello sviluppo della presente metodologia sono state utilizzate le seguenti fonti (in ordine gerarchico):
- il decreto legislativo n. 128 del 5 agosto 2015, il Provvedimento del Direttore dell’Agenzia delle Entrate del 14 aprile 2016 [ora sostituito dal D.M.6 dicembre 2024, n.d.r.], la Circolare n. 38/E del 16 settembre 2016;
- i documenti OCSE “Cooperative Compliance: Building better tax control framework” (2016) e “Co-operative Compliance: A Framework” (2013);
- il documento “Internal Control – Integrated Framework” della “Committee of Sponsoring Organizations of the Treadway Commission” (c.d. COSO Framework), richiamato dall’OCSE come standard di riferimento;
- il regolamento emanato ai sensi dell’articolo 17, comma 3, della legge 23 agosto 1988, n. 400, su proposta del Ministro dell’economia e delle finanze, di concerto con il Ministro della giustizia, in attuazione dell’articolo 4, comma 1 quater, del decreto, (“D.M. Certificazioni”)”.
Significativo è il dichiarato “ordine gerarchico” tra le fonti, che significa che eventuali antinomie o difformità insanabili andrebbero risolte con la prevalenza della fonte di grado superiore, il che è un elemento di chiarezza per il certificatore, data la non piena coincidenza tra le diverse descrizioni delle caratteristiche del sistema di controllo proposte dalle diverse fonti[35]. Si può notare poi che – correttamente – in questo ordine i documenti OCSE, specificamente dedicati alla tax governance figurano prima di quello, generico, rappresentato dal COSO Framework.
Occorre prestare attenzione anche ai riferimenti ricavabili dalla Circolare n. 38/E del 2016 che chiama in causa, indirettamente, le Disposizioni di vigilanza per le banche (circ. Banca d’Italia n. 285 del 2013) in ordine all’assetto dei controlli interni[36] nonché (al punto 2.5), a fini di coordinamento, i controlli sui processi contabili ai sensi dell’art. 154-bis TUF (c.d. “processi 262” o “SOX” – Sarbanes Oxley Act)[37], spunto poi ripreso in vari punti dalle Linee Guida, in tema di coordinamento con i controlli contabili.
Ma sui criteri e modalità di valutazione e verifica (assessment) si assiste a un’incrinazione dell’ordine gerarchico poco sopra richiamato. Infatti, nonostante il documento OCSE “Cooperative Compliance: Building better tax control framework” del 2016 contenga un Capitolo 3 espressamente dedicato al tema “Assessing and testing Tax Control Framework” (pp. 21 ss.), le Linee Guida Certificazioni preferiscono un puntuale riferimento al COSO IC Framework. In particolare, a p. 37, ove si enunciano i criteri di valutazione del TCF, si dice:
“nel corso dell’analisi delle fonti evidenziate al paragrafo precedente, si è riscontrato che:
- è possibile declinare i requisiti richiesti dalla normativa interna e dalla prassi internazionale all’interno dei requisiti richiesti dal COSO Framework;
- sono disponibili strumenti (checklist, format ecc.) di notevole qualità tecnica per la verifica dei requisiti del COSO Framework.
Conseguentemente, nella verifica dell’idoneità del sistema di controllo il certificatore verificherà la presenza dei requisiti “COSO” riscontrando così indirettamente la presenza dei requisiti stabiliti dalla norma interna e dalla prassi internazionale.”
In nota al documento in parola, sono esplicitati alcuni riferimenti: quello alla “normativa interna” è al par. 3 del Provvedimento 14 aprile 2016, ora art. 3 D.M 6 dicembre 2024, e quello alla “prassi internazionale” va alle “Essential features of a Tax Control Framework” (vale a dire, ai sei building blocks) del documento OCSE del 2016.
Infine, il riferimento ai “requisiti richiesti dal COSO Framework” viene sviluppato (in nota 10) con una capillare opera di abbinamento di quasi tutti i 17 singoli principi di cui al detto Framework [38] sia alle caratteristiche essenziali del TCF indicate ora dal D.M. 6 dicembre 2024 (già dal Provvedimento 14 aprile 2016), sia, separatamente, ai c.d. building blocks di cui al documento OCSE del 2016.
Il rischio di un disorientamento nell’identificazione di parametri – che poi, si rammenta, devono sorreggere una formale “attestazione” da parte del certificatore – sembra avvertito nelle stesse Linee Guida Certificazioni, laddove opportunamente si aggiunge (a p. 38) una notazione di chiusura secondo cui: “In ogni caso, i requisiti previsti dalla normativa interna (ad es.: presenza di una strategia fiscale) sono da considerarsi essenziali e tutti i requisiti previsti nel COSO sono interpretati alla luce della norma interna e della prassi internazionale sul TCF”. Con ciò si recupera una qualche gerarchia tra le fonti richiamate (anche se sembrerebbe più corretto utilizzare la prassi internazionale come criterio interpretativo dei requisiti posti da norme cogenti, e non viceversa).
Coerentemente, opta con decisione per lo schema COSO la “Nota metodologica per i controlli sul company level” (in allegato 2, richiamato a p. 39 delle Linee Guida Certificazioni) che guida il confronto del processo di risk assesment dell’impresa con i diciassette principi e le cinque componenti di tale framework.
In conclusione, sulla base dei parametri come sopra richiamati il professionista abilitato rilascerà la certificazione, i cui contenuti sono dettagliati dall’art. 7 Decreto Certificazioni, nella quale darà atto del possesso dei propri requisiti (onorabilità, professionalità e indipendenza), di avere eseguito i compiti e gli adempimenti di cui all’art. 6, comma 1, lettere (a) (definizione del perimetro) e (b) (Test of Design) – mentre, in caso di aggiornamento triennale, vanno eseguiti quelli di cui alla lettera (c) (Test of Effectiveness) – nel rispetto della metodologia indicata dalle Linee Guida Certificazione e “con allegazione delle relazioni illustrative delle attività svolte”, dichiarando – ed è questo il cuore della certificazione – che il TCF in questione risponde ai requisiti di cui al D.Lgs. 128/2015 ed è impostato in modo coerente con le Linee Guida.
Merita, infine, di essere segnalato che la certificazione ha l’effetto di validare il TCF ma non di “ingessarlo” nello stato in cui si trova, in quanto nello stesso documento che dà atto di quanto sopra potrà figurare anche “la descrizione di eventuali carenze non significative ai fini dell’affidabilità” del TCF esaminato, “riscontrate nel corso della procedura di certificazione, nonché l’indicazione delle azioni correttive da attuare” (art. 7, comma 1, lettera e) Decreto Certificazioni).
7. La certificazione del TCF di gruppo
Si rammenta, in premessa, che ai sensi dell’art. 7, comma 1-quater, D.Lgs. 128/2015 possono accedere al regime di cooperative compliance anche i soggetti appartenenti a un gruppo di imprese[39], a condizione che almeno un componente del gruppo possieda i requisiti dimensionali individuali sopra richiamati (v. par. 1) e che “il gruppo adotti un sistema integrato di rilevazione, misurazione e controllo del rischio fiscale, certificato ai sensi dell’articolo 4, comma 1-bis”.
Resta dunque da accennare alla certificazione di questo “TCF di gruppo integrato”, di cui si occupa il Decreto Certificazioni all’art. 6, commi da 6 a 9, ove si prevede una distinta certificazione, nei confronti sia dell’”impresa che esercita attività di direzione e coordinamento sul sistema di controllo del rischio fiscale”, sia delle singole imprese soggette a direzione e coordinamento che intendano aderire al regime.
Quanto alla certificazione relativa alla capogruppo, il professionista deve attestare, in aggiunta, “che i principi, le metodologie, le caratteristiche e le logiche di funzionamento, i ruoli e le responsabilità, inerenti all’istituzione, al mantenimento nel tempo e al funzionamento del sistema integrato di rilevazione, gestione e controllo dei rischi fiscali, sono rivolti anche alle società del gruppo soggette a direzione e coordinamento”. Si tratta dunque di estendere la valutazione ai processi di controllo relativi alla generalità dei rischi fiscali (c.d. company level) di cui all’art. 6, comma 2, lettera a), Decreto Certificazioni a livello di capogruppo, con la verifica della loro corretta propagazione al gruppo rilevante.
Riguardo alle certificazioni del secondo tipo, relative al TCF di ciascuna delle società soggette a direzione e coordinamento, sul piano della valutazione company level il professionista si limita ad attestare che – simmetricamente – j il TCF adottato dalla capogruppo sia applicato anche dalla società “a valle”, e che sia stata predisposta, per quest’ultima, una specifica mappa dei rischi fiscali, mentre sul versante dell’activity level, cioè con riferimento ai processi di controllo volti a mitigare singoli rischi correttamente rappresentati nella specifica mappa, deve svolgere pienamente la valutazione di cui all’art. 6, comma 2, lettera b), cioè verificare che i controlli approntati forniscano una adeguata garanzia di efficace gestione dei rischi stessi.
8. La certificazione infedele
Un ultimo cenno va fatto a un possibile momento patologico della certificazione.
L’art. art. 4, comma 1-bis D.Lgs. 128/2015 recita: “La certificazione è infedele se resa in assenza dei requisiti di indipendenza, onorabilità e professionalità indicati nel regolamento di cui al comma 1-ter, nonché in tutti i casi in cui non vi sia corrispondenza tra i dati contenuti nella certificazione e quelli esibiti dal contribuente o il certificatore attesti falsamente di aver eseguito i compiti e gli adempimenti previsti dal regolamento di cui al comma 1-ter [Decreto Certificazioni]”.
La prima causa di infedeltà riguarda i requisiti del certificatore laddove, invece, le altre attengono all’oggetto della sua attività. Per tutte le carenze suddette accertate (è da ritenere, definitivamente) in relazione a una certificazione effettivamente rilasciata[40], le conseguenze risultano unitariamente regolate, determinando l’infedeltà della certificazione.
Le conseguenze, quindi, sono le medesime anche se Il termine “certificazione infedele”, invero, evoca un vizio insito nel contenuto dell’attestazione, mentre il difetto di un requisito quale l’onorabilità o la professionalità del certificatore sembra incidere più sulla sua legittimazione all’attività.
In ogni caso, l’infedeltà determina riflessi nei confronti sia dell’impresa che ha conferito l’incarico di certificazione sia del professionista.
Sul versante dell’impresa, in caso di infedeltà della certificazione, la stessa disposizione di legge citata stabilisce che “l’Agenzia dell’entrate ne tiene conto ai fini dell’ammissione o della permanenza nel regime di adempimento collaborativo del soggetto cui la certificazione si riferisce”.
La norma non si esprime sulla validità o meno dell’atto di certificazione, lasciando spazio all’Agenzia per valutazioni di merito sull’entità e sulle conseguenze dell’infedeltà.
Al riguardo, sembra che una causa di infedeltà del primo tipo sopra indicato, cioè di natura soggettiva, lasci spazio ad una qualche “prova di resistenza”, ove si possa dimostrare che la carenza di un dato requisito – soprattutto laddove rilevino anche profili valutativi, come per talune minacce potenziali all’indipendenza – non ha inciso minimamente sulla correttezza dell’attività in concreto svolta.
Quanto alle carenze di tipo oggettivo, sembra non possa prescindersi da una valutazione almeno in termini di materialità delle difformità tra la realtà fattuale e quanto rappresentato nella certificazione.
Nei riguardi del certificatore, ancora la norma di legge in esame precisa che l’Agenzia “comunica la condotta del professionista che ha reso la certificazione infedele al Consiglio Nazionale dell’ordine professionale di appartenenza per le valutazioni di competenza”.
Il Decreto Certificazioni (nel combinato disposto dell’art. 7, comma 8 e dell’art. 3, commi 3 e 4) precisa che tali valutazioni si traducono in un procedimento (con diritto del professionista a essere ascoltato e a produrre documenti e memorie a propria difesa) innanzi al Consiglio Nazionale, che, previa sospensione d’urgenza dall’elenco, può condurre a un provvedimento conclusivo di cancellazione o sospensione temporanea e, in tali casi, alla comunicazione del provvedimento conclusivo sfavorevole al Consiglio dell’ordine di appartenenza, per l’avvio del procedimento disciplinare.
[1] Decreto modificato dal D.Lgs. 30 dicembre 2023, n. 221 e dal D.Lgs. 5 agosto 2024 n. 108, in attuazione della L. 9 agosto 2023, n. 111, che delegava il Governo, tra l’altro, ad introdurre misure per il “potenziamento del regime dell’adempimento collaborativo”.
[2] Più precisamente, l’art. 7 del D.Lgs. 128/2015, richiede un volume minimo di affari o ricavi di Euro 750 milioni con riferimento al 2024, che decresce a 500 milioni per il 2026 e a 100 milioni per il 2028 (comma 1-bis) oppure l’appartenenza a un gruppo nel quale almeno un soggetto abbia il suddetto requisito dimensionale, purché sia adottato un TCF integrato di gruppo (comma 1-quater). Infine, in alternativa al requisito dimensionale, il comma 1-quinquies indica la situazione di chi “dà esecuzione alla risposta all’istanza di interpello nuovi investimenti, di cui all’articolo 2 del decreto legislativo 14 settembre 2015, n. 147”.
[3] Si potrebbe passare dalle attuali 221 imprese aderenti al regime fino a 11 mila, secondo stime riportate da M. MOBILI – G.PARENTE, Con il Fisco tutor 13 miliardi di imposte già sotto controllo, Il Sole 24 Ore 19 marzo 2026, p. 8.
[4] Secondo l’art. 6, comma 1, esso “comporta la possibilità per i contribuenti di pervenire con l’Agenzia delle entrate a una comune valutazione delle situazioni suscettibili di generare rischi fiscali prima della presentazione delle dichiarazioni fiscali, attraverso forme di interlocuzione costante e preventiva su elementi di fatto, inclusa la possibilità dell’anticipazione del controllo”.
[5] Si tratta di un inciso formulato da Corte Cost., sentenza 28 luglio 2025, n. 137, par. 8. La Corte così prosegue: “A partire dalla fine degli anni Novanta, infatti, questa evoluzione ha sancito un progressivo passaggio a un approccio fondato sulla collaborazione. Tale approccio si basa sul presupposto che le relazioni improntate sulla fiducia e sulla collaborazione reciproca siano, in molti casi, più efficaci del ricorso a strumenti autoritari e repressivi”.
[6] Doveri reciproci improntati ad un atteggiamento trasparente e costruttivo e meglio sviluppati nel “codice di condotta” adottato, in esecuzione dell’art. 5, comma 2-bis D.Lgs. 128/2015, col D.M. 29 aprile 2024.
[7] Quali, ad es., una procedura di interpello abbreviato (comma 2); un contraddittorio preventivo su determinate posizioni sfavorevoli dell’Agenzia delle entrate (comma 2-bis); l’esonero dalla prestazione di garanzia per il pagamento dei rimborsi delle imposte (comma 6); l’abbreviazione del termine di decadenza per determinati accertamenti (comma 6-bis).
[8] Mediante l’interpello abbreviato di cui al comma 2 ovvero un’apposita comunicazione di cui all’art. 5, comma 2, lettera b), da realizzarsi “prima della presentazione delle dichiarazioni fiscali ovvero prima del decorso delle relative scadenze fiscali”.
[9] La mera adozione di un TCF (munito della certificazione, di cui si dirà), in mancanza degli altri requisiti previsti dall’art. 7 D.Lgs. 128/2015, consente la fruizione comunque di un regime opzionale, con effetti più limitati (di cui all’art. 7-bis). Sul regime opzionale v. D.M. 9 luglio 2025.
[10] Un noto rapporto del 2008 (OECD, Study into the Role of Tax Intermediaries) identificava una relazione di tipo “basico” “characterised by the parties interacting solely by reference to what each is legally required to do” e il suo possibile superamento attraverso un rapporto (definito enhanced relationship) basato sulla mutua fiducia, da costruire attraverso comportamenti quali, da parte delle autorità fiscali: “demonstrating understanding based on commercial awareness, impartiality, proportionality, openness through disclosure and transparency, and responsiveness;” e da parte dei contribuenti: “providing disclosure and transparency”.
[11] “Since the 2008 Study was published, the importance of good corporate governance systems that support the necessary disclosure and transparency has emerged much more clearly as an integral part of the co-operative compliance concept. The existence of visible and reliable systems of tax governance provides more assurance that the taxpayer is able and willing to meet the required standard of disclosure and transparency. In this respect a (tax) risk management control system or Tax Control Framework (TCF) is an important tool” (p. 30)
[12] Il concetto di justified trust, richiamato in più parti del documento, sembra ben illustrato a p. 47 dove si afferma che: “The existence of an effective TCF, coupled with a taxpayer’s explicit willingness to meet the requirements of disclosure and transparency that go beyond their statutory obligations, provide an objective and rational basis for different treatment. The revenue body can place a justified reliance on the tax returns it receives from taxpayers who meet the requirements and can be confident that material tax risks and uncertainties will be brought to its attention”.
[13] Sull’inquadramento del TCF nel discorso relativo agli assetti organizzativi, sia consentito richiamare la ricognizione effettuata in M. DESIDERIO, Corporate governance, controlli interni e tax control framework, in www.dirittobancario.it, dicembre 2025: https://www.dirittobancario.it/art/corporate-governance-controlli-interni-e-tax-control-framework/
[14] Insieme alle quali sono state adottate anche le “Linee guida per la compilazione della Mappa dei Rischi e dei Controlli Fiscali dei contribuenti del settore industriale, e relativo allegato” e successivamente, il 7 agosto 2025, le “Linee guida per la compilazione della Mappa dei rischi e dei controlli fiscali dei contribuenti del settore assicurativo” e relativo allegato. Con provvedimento del direttore dell’Agenzia delle entrate del 10 ottobre 2024 è stato altresì istituito un tavolo tecnico di lavoro, composto da rappresentanti designati dall’Agenzia e dall’Organismo Italiano di Contabilità, che “curerà in particolare la redazione di specifiche istruzioni in ordine alla mappatura e alla gestione dei rischi fiscali derivanti dai principi contabili applicati dal contribuente, da allegare, di volta in volta alle linee guida stesse”.
[15] Emanato ai sensi dell’art. 7, comma 5, D.Lgs. 128/2015, secondo cui: “Con decreto del Ministro dell’economia e delle finanze sono disciplinate le modalità di applicazione del regime di adempimento collaborativo”, e che sostituisce, aggiornando (ed elevando di rango), le disposizioni attuative contenute nel provvedimento del direttore dell’Agenzia delle entrate, prot. n. 54237 del 14 aprile 2016. Indicazioni di prassi al riguardo erano state altresì emanate con Circolare dell’Agenzia delle entrate n. 38/E del 16 settembre 2026, atti comunque richiamati nelle Linee Guida.
[16] In questa direzione andava l’ipotesi formulata da G. MARINO – R. MORO, Proposte normative per valorizzare gli istituti della cooperative compliance, del tax control framework, del ravvedimento operoso e per l’istituzione di un “bollino verde”, in Dir. e Prat. Trib., n.3, 2023, ove a p. 969 si alludeva ad una certificazione “compiuta dalla medesima Agenzia delle entrate in qualità di articolazione del Ministero dell’Economia e delle Finanze, sulla base di un apposito Decreto da emanare a tal fine, avendo come parametro l’Enterprise Risk Management (ERM) del CoSO Framework”.
[17] La certificazione non sostituisce in toto le verifiche istruttorie da parte dell’Agenzia delle entrate: il D.M. 6 dicembre 2024 continua a prevedere (così come il suo antecedente, Provv. Dir. Agenzia entrate 14 aprile 2016, faceva prima che fosse istituita la certificazione) che “L’ufficio competente per la valutazione dei requisiti di ammissibilità per l’accesso al regime verifica i requisiti del sistema secondo criteri di comprensione del business, imparzialità, proporzionalità, trasparenza e reattività, proponendo, eventualmente, gli interventi ritenuti necessari ai fini dell’ammissione al regime” (art. 5, comma 1), solo che ora aggiunge che “Nel corso dell’ istruttoria di ammissione, l’ufficio competente verifica che il sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale sia stato predisposto in modo coerente con le linee guida di cui all’art. 4, comma 1-quater, del decreto e che sia stato certificato” ai sensi di legge (art. 5, comma 3).
[18] La L. 9 agosto 2023, n. 111, all’art. 17, comma 1, lett. (g) tra i criteri direttivi per il potenziamento del regime di adempimento collaborativo, indicava di “introdurre la possibilità di certificazione da parte di professionisti qualificati dei sistemi integrati di rilevazione, misurazione, gestione e controllo del rischio fiscale anche in ordine alla loro conformità ai principi contabili, fermi restando i poteri di controllo dell’Amministrazione finanziaria”;
[19] Vedi R. SABIA, Responsabilità dell’ente e paradigmi di validazione. Indicazioni di policy per una riforma del sistema “231” nel quadro della compliance ex ante, in Riv. trim. dir. pen. econ. 1-2/2025, p. 338 (che raccoglie e sviluppa le riflessioni svolte dalla stessa Autrice nella precedente monografia Responsabilità da reato degli enti e paradigmi di validazione dei modelli organizzativi. Esperienze comparate e scenari di riforma, Torino, 2022).
[20] R. SABIA, op. cit., p. 350.
[21] R. SABIA, op. cit., pp. 352 ss.
[22] In tal modo “precisandosi normativamente i contenuti del modello che costituiscono altrettanti obblighi giuridici per l’ente”: v. N. PISANI, Profili penalistici del testo unico sulla salute e sicurezza sui luoghi di lavoro (commento al d.leg. 9 aprile 2008, n. 81), in Dir. pen. e proc., 2008, p. 834.
[23] Si tratta di “organismi costituiti a iniziativa di una o più associazioni dei datori e dei prestatori di lavoro comparativamente più rappresentative sul piano nazionale, quali sedi privilegiate per: la programmazione di attività formative e l’elaborazione e la raccolta di buone prassi a fini prevenzionistici; lo sviluppo di azioni inerenti alla salute e alla sicurezza sul lavoro; l’assistenza alle imprese finalizzata all’attuazione degli adempimenti in materia; ogni altra attività o funzione assegnata loro dalla legge o dai contratti collettivi di riferimento” (art. 2, comma 1, lettera ee) D.Lgs. n. 81(2008).
[24] Le proposte in questa direzione sono analizzate da S. MANACORDA, L’idoneità preventiva dei modelli di organizzazione nella responsabilità da reato degli enti: analisi critica e linee evolutive, in Riv. trim. dir. pen. econ. 1-2/2017, pp. 100 ss. V. anche A. ORSINA, La responsabilità da reato dell’ente tra colpa di organizzazione e colpa di reazione, Torino, 2024, p. 288.
[25] A valle del Protocollo d’intesa, sul funzionamento dei rispettivi elenchi sono stati emanati il Regolamento CNDCEC approvato il 25 giugno 2025 e modificato il 17 settembre 2025 e il Regolamento CNF dell’11 luglio 2025, sostituito il 24 ottobre 2025
[26] L’esonero totale riguarda per soggetti che abbiano, oltre ad una certa anzianità di iscrizione all’albo, significative esperienze “sul campo” (i) nella progettazione, realizzazione o sviluppo di TCF validati dall’Agenzia delle entrate o nella collaborazione con questi professionisti dall’interno dell’impresa (responsabili dei rischi fiscali); (ii) quali componenti di organismi di vigilanza o comitati endoconsiliari analoghi o titolari di funzioni di Audit aziendale in imprese ammesse alla cooperative compliance; ovvero che abbiano determinati titoli universitari (art. 4 del Protocollo). Inoltre, vi sono ipotesi di esonero parziale, cioè in relazione a singoli moduli formativi, in base a determinati titoli accademici, alla qualifica di revisore contabile e a determinate esperienze aziendali attinenti alle materie rilevanti (art. 5 del Protocollo).
[27] D.Lgs. 27 gennaio 2010, n. 39: art. 10, comma 1: “Il revisore legale e la società di revisione legale che effettuano la revisione legale, nonché qualsiasi persona fisica in grado di influenzare direttamente o indirettamente l’esito della revisione legale, devono essere indipendenti dalla società sottoposta a revisione e non devono essere in alcun modo coinvolti nel suo processo decisionale”. Il comma 1-ter impone poi di “adottare tutte le misure ragionevoli per garantire che la sua indipendenza non sia influenzata da alcun conflitto di interessi, anche soltanto potenziale, o da relazioni d’affari o di altro genere, dirette o indirette, riguardanti il revisore legale o la società di revisione legale e, laddove applicabile, la sua rete, i membri dei suoi organi di amministrazione, i suoi dirigenti, i suoi revisori, i suoi dipendenti, qualsiasi persona fisica i cui servizi sono messi a disposizione o sono sotto il controllo del revisore legale o della società di revisione o qualsiasi persona direttamente o indirettamente collegata al revisore legale o alla società di revisione legale”.
[28] Le rilevanti differenze tra certificatore del TCF e revisore legale, a tacer d’altro, iniziano con lo stesso meccanismo di investitura nel ruolo, atteso che quest’ultimo dev’essere nominato dall’assemblea, su proposta motivata dell’organo di controllo, che ne determina il corrispettivo e può essere revocato solo dall’assemblea, sentito l’organo di controllo, in presenza di una giusta causa (v. art. 13 D.Lgs. n. 39/2010).
[29] V. le Norme di comportamento del collegio sindacale di società non quotate elaborate dal Consiglio nazionale dei dottori commercialisti e degli esperti contabili, da ultimo nel dicembre 2024 (“Norme CNDCEC”). La “Norma” 1.4 riguarda, appunto, l’indipendenza del sindaco ed è corredata da “Criteri applicativi” e da un “Commento” che sviluppano diversi aspetti del tema. Anche qui, non mancano significative differenze tra certificatore e sindaco, che vanno dal meccanismo di nomina alle conseguenze del difetto dei requisiti di legge, che per il certificatore determinano, come si vedrà, immediate e gravi conseguenze. Inoltre, per i sindaci “La natura collegiale dell’organo costituisce di per sé un adeguato presidio per l’osservanza della normativa, a fronte delle circostanze, isolate o temporanee, che potrebbero compromettere l’indipendenza di un sindaco, ma non del collegio” (Norme CNDCEC, p. 26).
[30] Secondo le Norme CNDCEC i “rischi derivanti dalla intimidazione: si verifica[no] quando si rilevano possibili condizionamenti derivanti dalla particolare influenza esercitata nei suoi confronti dalla società o da altra società del gruppo”
[31] Sul punto dell’esternalizzazione, si rinvia a M. DESIDERIO, Corporate governance, controlli interni e tax control framework, in www.dirittobancario.it, dicembre 2025, par. 5.2.2: https://www.dirittobancario.it/art/corporate-governance-controlli-interni-e-tax-control-framework/
[32] Per valutare le misure in parola si potrebbe esser tentati di fare ricorso a un criterio di “apparenza” simile a quello dettato per i revisori legali, ai quali la legge chiede di astenersi dall’attività in presenza di rischi, di varia fonte, per l’indipendenza, derivante da relazioni “dalle quali un terzo informato, obiettivo e ragionevole, tenendo conto delle misure adottate, trarrebbe la conclusione che l’indipendenza del revisore legale o della società di revisione legale risulti compromessa” (art. 10, comma 2, D.Lgs. n. 39/2010). Ma, ancora una volta, occorre prudenza nell’importare norme dedicate ai revisori legali, anche tenendo conto che la carenza di indipendenza del certificatore del TCF determina una “certificazione infedele” con gravi conseguenze, di cui si dirà oltre.
[33] Per esprimere questa relazione più stretta, le Norme CNDCEC, sopra richiamate, evocano un concetto più generico di “appartenenza” allo Studio, laddove invitano il sindaco a valutare i rischi di indipendenza tenendo conto, tra l’altro, “dei rapporti e delle relazioni intrattenuti con la società o con altre società del gruppo dagli altri soggetti appartenenti allo studio associato o alla società fra professionisti cui partecipa” (p. 27).
[34] Quest’ultima disamina, di efficacia operativa del TCF, coincide con quella richiesta per le imprese che, alla data di entrata in vigore del D.Lgs. 221/2023 (che ha, tra l’altro, introdotto la certificazione), essendo già state ammesse al regime di adempimento collaborativo o avendo già presentato la relativa istanza, avevano un TCF il cui disegno risultava già validato dall’Agenzia delle entrate. In questi casi la certificazione iniziale non è dovuta, mentre la valutazione di efficacia in questione dev’essere oggetto di una apposita attestazione (v. art. 1, comma 3 D.Lgs. 221/2023 e D.M. 21 novembre 2024) disciplinata in termini simili alla certificazione.
[35] Si considerino le descrizioni rappresentate:
(i) dai sette elementi del TCF indicati nel D.M. 6 dicembre 2024 (già provvedimento del direttore dell’Agenzia delle entrate del 14 aprile 2016): (a) strategia fiscale; (b) ruoli e responsabilità; (c) procedure (di rilevazione, misurazione, gestione e controllo del rischio); (d) monitoraggio; (e) adattabilità rispetto al contesto interno ed esterno; (f) relazione agli organi di gestione; (g) mappa dei rischi fiscali;
(ii) dai sei “building blocks” del TCF declinati dal documento OCSE del 2016 “Cooperative Compliance: Building better tax control framework”: (I) Tax Strategy Established: (II) Applied Comprehensively; (III) Responsibility Assigned: (IV) Governance Documented; (V) Testing Performed; (VI) Assurance Provided;
(iii) dalle cinque componenti individuate dal COSO Internal Control – Integrated Framework del 2013: (i) Ambiente di controllo; (ii) Valutazione del rischio; (iii) Attività di controllo; (iv) Informazione e comunicazione; (v) Attività di monitoraggio; a ciascuna delle quali pertengono determinati principi (in tutto 17) ritenuti essenziali per l’effettività della rispettiva componente;
(iv) dai quattro pilastri (aree di funzionamento) del TCF declinati dalle Linee Guida dell’Agenzia delle entrate (par. 5, pp. 8 ss.): (1) l’Ambiente di controllo; (2) la Governance del sistema di controllo; (3) il Processo di Tax risk assessment; (4) i Meccanismi di aggiornamento e autoapprendimento (monitoraggio).
[36] Peraltro, le Linee Guida (nella parte dedicata alla redazione del documento aziendale illustrativo del TCF – c.d. Tax Control Model) esplicitano più volte il richiamo alla Circolare della Banca d’Italia n. 285 del 17 dicembre 2013.
[37] Si nota poi che le Linee Guida Certificazioni, a p. 37, fanno generico riferimento anche a best practice USA di utilizzo del COSO Framework “ai fini Sox” anche da parte della Securities and Exchange Commission e dell’Institute of Internal Auditors.
[38] Abbinamento, peraltro, operato senza “passare” per le rispettive cinque componenti dell’Internal Control alle quali i principi sono, almeno principalmente, sottesi.
[39] Inteso come insieme delle società, delle imprese e degli enti sottoposti a comune controllo ai sensi dell’art. 2359 c.c. (ad eccezione del controllo derivante da vincoli contrattuali di cui al comma 2, n. 3)).
[40] Si rammenta che il difetto di onorabilità o di indipendenza sorto nel corso dello svolgimento dell’incarico determina la decadenza dallo stesso.
