Autovalutazione del rischio antiriciclaggio per commercialisti: il fascicolo operativo per la scadenza del 27 maggio 2026
Entro il 27 maggio 2026 tutti gli iscritti all’Albo dei Dottori Commercialisti e degli Esperti Contabili devono aggiornare il documento di autovalutazione del rischio antiriciclaggio dello studio. Il termine non è arbitrario: il CNDCEC lo ha collegato espressamente alla pubblicazione del 27 maggio 2025 dell’aggiornamento dell’Analisi nazionale dei rischi predisposta dal Comitato di Sicurezza Finanziaria, secondo quanto chiarito dall’Informativa CNDCEC n. 85/2025. La Regola Tecnica n. 1 CNDCEC 2025 ha superato la vecchia logica del rinnovo triennale fisso, sostituendola con un obbligo di aggiornamento ogni volta che intervengano mutamenti rilevanti dei parametri utilizzati e comunque entro un anno dall’aggiornamento periodico dell’Analisi nazionale dei rischi.
Conviene chiarire subito un punto che genera molta confusione: il documento di autovalutazione non misura il rischio del singolo cliente, ma la capacità complessiva dello studio professionale di intercettare fenomeni di riciclaggio, finanziamento del terrorismo e finanziamento della proliferazione nell’esercizio dell’attività. Per produrlo in modo difendibile in caso di verifica conviene utilizzare il modello AV.0 del CNDCEC come traccia documentale, anche se la modulistica resta esemplificativa e non obbligatoria, come precisato nell’Informativa CNDCEC n. 57/2026.
La formula operativa contenuta nell’AV.0 è semplice nella struttura ma sostanziale negli effetti: rischio residuo = rischio inerente × 40% + vulnerabilità × 60%. Il rischio inerente deriva da tipologia di clientela, area geografica, canali distributivi e servizi offerti; la vulnerabilità deriva dalla qualità di formazione, adeguata verifica, conservazione e organizzazione interna in materia di SOS e contante. Quando il rischio residuo risulta “abbastanza significativo” o “molto significativo”, il documento deve obbligatoriamente prevedere azioni di gestione e mitigazione, con verifica dell’efficacia nei successivi aggiornamenti.
Le fonti da acquisire e conservare nel fascicolo
La prima operazione concreta, prima ancora di scrivere il documento, consiste nel costituire il dossier delle fonti. Si tratta di materiale che dovrà essere richiamato nell’AV.0 e conservato insieme ad esso, sia per dimostrare l’iter logico seguito sia per rendere coerente la valutazione con il quadro normativo vigente.
| Priorità | Documento | Funzione nel fascicolo |
|---|---|---|
| Essenziale | Regole Tecniche antiriciclaggio CNDCEC 2025 | Fonte metodologica primaria: RT1 per autovalutazione, RT2 per adeguata verifica, RT3 per conservazione |
| Essenziale | Informativa CNDCEC n. 85/2025 | Stabilisce il collegamento tra Analisi nazionale dei rischi e scadenza del 27 maggio 2026 |
| Essenziale | Informativa CNDCEC n. 57/2026 | Annuncia modulistica, indicazioni operative e strumenti di supporto approvati il 18 marzo 2026 |
| Essenziale | Indicazioni operative CNDCEC 2026 | Contiene formule, scale di valutazione, criteri e descrizione dei modelli AV.0-AV.7 |
| Essenziale | Modulistica CNDCEC AML 2026 | Comprende il modello AV.0 e i modelli AV per adeguata verifica, dichiarazioni e controllo costante |
| Essenziale | Pagina CNDCEC “Antiriciclaggio” | Hub aggiornato per Regole Tecniche, modulistica, schede e relazioni annuali |
| Essenziale | D.Lgs. 231/2007 vigente | Base normativa degli obblighi di valutazione del rischio, adeguata verifica, conservazione e segnalazione |
| Essenziale | Analisi nazionale dei rischi CSF/MEF 2025 | Quadro esterno di rischio da richiamare nell’AV.0 (pubblicazione del Comitato di Sicurezza Finanziaria) |
| Molto utile | UIF, Indicatori e schemi di anomalia | Base per il presidio SOS, le procedure interne e la selezione degli indicatori rilevanti |
| Molto utile | CNDCEC, Indicatori di anomalia 2024 | Commento applicativo per commercialisti sui 34 indicatori UIF e sui circa 400 sub-indici |
Quadro normativo e professionale
La Regola Tecnica n. 1 stabilisce che il professionista obbligato debba effettuare l’autovalutazione del rischio di riciclaggio e finanziamento del terrorismo connesso alla propria attività professionale e adottare presidi e procedure adeguati alla natura e dimensione dello studio. Il processo richiede di valutare quattro componenti: il rischio inerente, l’adeguatezza dell’assetto organizzativo e dei presidi, le vulnerabilità presenti e il rischio residuo che ne consegue, così da individuare eventuali misure di gestione e mitigazione.
L’autovalutazione è qualificata come adempimento proprio del professionista e non delegabile. Negli studi associati e nelle STP può essere effettuata in capo alla struttura, ma resta essenziale che il processo sia formalmente riconducibile ai soggetti responsabili. I collaboratori, i consulenti esterni e i software gestionali possono supportare la raccolta dei dati e la predisposizione dei prospetti, però l’iter logico valutativo non può essere sostituito da automatismi o presunzioni generalizzate.
Il CNDCEC ha approvato il 18 marzo 2026 modulistica e indicazioni operative di supporto agli adempimenti antiriciclaggio, precisando che tali materiali hanno natura di ausilio e guida, non di schema obbligatorio chiuso. L’impostazione è importante per chi affronta l’aggiornamento: l’AV.0 va compilato come documento ragionato, con note, fonti, dati di base e motivazioni, non come foglio di calcolo privo di contestualizzazione.
Il metodo AV.0 spiegato passo per passo
La descrizione dello studio
La prima sezione dell’AV.0 richiede una descrizione sintetica dello studio professionale, con indicazione di tipologia giuridica, localizzazione delle sedi, eventuali specializzazioni, tipologia di clientela e principali prestazioni svolte. In questa parte conviene includere anche dati quantitativi minimi: numero di clienti attivi, ripartizione tra persone fisiche, imprese individuali, società di persone, società di capitali, enti non profit, eventuali trust o fiduciarie, numero di collaboratori, strumenti software utilizzati, presenza di più sedi e modalità di gestione dei fascicoli. Più la descrizione è ricca di dati verificabili, più la valutazione successiva risulterà sostenibile.
Il rischio inerente
Il rischio inerente è la media aritmetica dei punteggi attribuiti a quattro fattori: tipologia di clientela, area geografica di operatività, canali distributivi e servizi offerti. La scala è la stessa per tutti i fattori: 1 per “non significativo”, 2 per “poco significativo”, 3 per “abbastanza significativo” e 4 per “molto significativo”.
Per la tipologia di clientela, l’AV.0 propone di guardare alla percentuale di clienti assoggettati ad adeguata verifica rafforzata sul totale: fino al 10% indice 1, oltre il 10% e fino al 25% indice 2, oltre il 25% e fino al 40% indice 3, oltre il 40% indice 4. Per l’area geografica, il modello usa una logica analoga in relazione all’incidenza di prestazioni e clienti con collegamenti a Paesi terzi ad alto rischio o aree a maggiore esposizione.
Sui canali distributivi, il CNDCEC segnala che il fattore è spesso residuale nell’attività professionale, ma va comunque motivato se vi sono incarichi gestiti da remoto, collaborazioni esterne, corrispondenza, intermediari, canali di pagamento o modalità operative che aumentano l’opacità della relazione professionale. Per i servizi offerti, l’AV.0 propone di valutare l’incidenza delle prestazioni classificate a rischio inerente “non significativo” o “poco significativo”: più dell’80% indice 1, più del 60% e fino all’80% indice 2, più del 45% e fino al 60% indice 3, fino al 45% indice 4.
La vulnerabilità
La vulnerabilità misura l’adeguatezza organizzativa dello studio, cioè le carenze che potrebbero consentire al rischio inerente di concretizzarsi senza essere intercettato. I quattro fattori da valutare sono formazione, organizzazione dell’adeguata verifica, organizzazione della conservazione e organizzazione in materia di SOS e comunicazioni sulle violazioni in materia di contante.
La scala della vulnerabilità è inversamente collegata alla qualità dei presidi adottati: 1 se i presidi sono completi e strutturati, 2 se sono ordinari, 3 se sono lacunosi, 4 se sono insufficienti. Nella pratica, la parte più difendibile dell’AV.0 non è il numero attribuito, ma la nota che spiega perché lo studio considera adeguati o lacunosi i propri presidi. Un punteggio basso senza motivazione è più pericoloso di un punteggio alto ben argomentato.
Il rischio residuo
Il rischio residuo si determina ponderando il rischio inerente al 40% e la vulnerabilità al 60%, perché il CNDCEC attribuisce alla vulnerabilità organizzativa una rilevanza maggiore nella determinazione dell’esposizione finale. Le classi di esposizione sono quattro:
| Intervallo del rischio residuo | Classe di esposizione | Conseguenza operativa |
|---|---|---|
| da 1 a meno di 1,6 | Non significativo | Mantenimento dei presidi esistenti |
| da 1,6 a meno di 2,6 | Poco significativo | Monitoraggio ordinario, miglioramenti consigliati |
| da 2,6 a meno di 3,6 | Abbastanza significativo | Obbligatorio piano di gestione e mitigazione |
| da 3,6 a 4 | Molto significativo | Obbligatorio piano di mitigazione strutturato e tracciato |
La matrice operativa per raccogliere dati e motivazioni
Per facilitare la compilazione dell’AV.0 e rendere il documento difendibile, conviene strutturare una matrice di lavoro che colleghi ciascun fattore al dato da raccogliere e alla nota probatoria da allegare. La tabella seguente riprende lo schema raccomandato dalle indicazioni CNDCEC 2026.
| Area | Fattore | Dato da raccogliere | Nota probatoria da inserire |
|---|---|---|---|
| Rischio inerente | Clientela | Numero clienti ad alto rischio o sottoposti a verifica rafforzata sul totale | Motivare quali categorie sono state considerate ad alto rischio |
| Area geografica | Clienti, controparti o operazioni con aree a rischio sul totale | Richiamare liste UE/GAFI, province o aree con flussi anomali se pertinenti | |
| Canali distributivi | Incarichi remoti, collaborazioni esterne, pagamenti non ordinari | Spiegare perché il fattore è residuale o invece rilevante | |
| Servizi offerti | Ripartizione delle prestazioni per livello di rischio | Collegare alle tabelle RT2 e alle attività effettive dello studio | |
| Vulnerabilità | Formazione | Corsi AML, aggiornamenti, formazione collaboratori | Allegare attestati, slide, circolari interne |
| Adeguata verifica | Procedure, fascicoli, AV.1/AV.4, controllo costante | Indicare software, responsabili, campionamenti | |
| Conservazione | Fascicolo cartaceo/informatico, tempi, reperibilità | Richiamare RT3, retention decennale, criteri di archiviazione | |
| SOS e contante | Procedura anomalie, indicatori UIF, flusso interno | Allegare checklist SOS e riferimento agli indicatori selezionati |
L’Analisi nazionale dei rischi e le ricadute concrete sullo studio
L’Analisi nazionale dei rischi 2025 indica come “molto significativo” il rischio inerente di riciclaggio nel sistema italiano e qualifica come molto significative minacce quali corruzione, estorsione, evasione e reati tributari, narcotraffico, reati fallimentari e societari. La stessa analisi attribuisce ai dottori commercialisti una vulnerabilità relativa “molto significativa”: un dato che non va trattato come opinione esterna trascurabile, perché rende opportuno documentare con particolare cura la qualità dei presidi interni dello studio nel proprio AV.0.
Per uno studio di commercialista le aree da presidiare con maggiore attenzione sono almeno quattro: reati tributari e frodi IVA, operazioni societarie e straordinarie, strutture opache (trust, fiduciarie o titolarità effettive complesse) e uso anomalo di contante o strumenti non tracciati. Gli indicatori UIF e il documento CNDCEC 2024 richiamano in particolare gli indicatori relativi a comportamenti del cliente, caratteristiche dell’operatività, profili fiscali e societari, trust, mandati fiduciari e crypto-asset.
Una precisazione importante: gli indicatori di anomalia non sono tassativi né esaustivi, e la mera ricorrenza di uno o più indicatori non basta da sola a fondare una segnalazione di operazione sospetta. Occorre sempre una valutazione complessiva e ponderata di tutti gli elementi disponibili. Nel documento di autovalutazione conviene quindi indicare quali indicatori UIF sono stati selezionati come maggiormente pertinenti rispetto all’operatività concreta dello studio, senza presentare tale selezione come esaustiva.
Le best practice per un AV.0 difendibile
Definire un perimetro chiaro
Il documento dovrebbe indicare il perimetro esatto valutato: professionista individuale, studio associato, STP, sedi operative, collaboratori, eventuali società di servizi e prestazioni effettivamente erogate. In caso di studio associato o STP, la Regola Tecnica ammette un’autovalutazione in capo alla struttura, ma è opportuno disciplinare chi raccoglie i dati, chi valida le valutazioni, chi firma il documento e dove viene conservata la documentazione.
Usare dati reali, non impressioni
L’AV.0 dovrebbe contenere almeno una tabella di supporto con numero totale clienti, numero clienti sottoposti a verifica rafforzata, numero clienti con collegamenti esteri o ad aree a rischio, incidenza delle prestazioni a rischio non significativo o poco significativo e incidenza di incarichi societari o straordinari. La modulistica CNDCEC consente “eventuale altra valutazione effettuata”, ma tale flessibilità va motivata e accompagnata da evidenze interne. Affidarsi a stime impressionistiche è il modo più rapido per rendere fragile l’intero documento.
Trattare con attenzione i clienti dichiarativi
Le prestazioni dichiarative possono essere escluse dall’adeguata verifica in determinate ipotesi previste dalla RT2, ma ciò non significa che i relativi clienti vadano rimossi dalla mappatura complessiva del rischio dello studio. L’esclusione dal denominatore altererebbe la rappresentazione della massa critica della clientela e renderebbe incoerente la valutazione complessiva. Nel calcolo dei rapporti percentuali per la tipologia di clientela è quindi opportuno mantenere i clienti dichiarativi nel totale.
Scrivere le motivazioni, non solo i punteggi
Per ogni fattore, il documento dovrebbe riportare il punteggio attribuito, il criterio usato per attribuirlo, il dato o la stima sottostante e la motivazione discorsiva. L’Informativa n. 57/2026 avverte espressamente che gli strumenti di calcolo forniscono soltanto il risultato finale di un processo che deve essere comunque tracciato nell’iter logico valutativo del professionista. Il calcolo è il punto di arrivo, non quello di partenza.
Collegare vulnerabilità e piano di mitigazione
Se la formazione non è formalizzata, se i fascicoli sono incompleti, se il controllo costante non è calendarizzato o se la procedura SOS non è scritta, la vulnerabilità deve aumentare in modo coerente e il piano di mitigazione deve essere concreto. Le indicazioni operative CNDCEC richiedono di programmare azioni di gestione e mitigazione in presenza di rischio residuo abbastanza significativo o molto significativo, con responsabili, scadenze ed evidenze attese.
Conservare un fascicolo probatorio
Il fascicolo dell’autovalutazione dovrebbe includere il documento AV.0 firmato, i prospetti di calcolo, l’elenco delle fonti, le evidenze di formazione, la procedura di adeguata verifica, un campione di fascicoli, la procedura di conservazione, la procedura SOS/contante e l’elenco degli indicatori UIF selezionati. La RT3 richiede sistemi di conservazione idonei a garantire integrità, leggibilità e reperibilità dei dati, con conservazione decennale dalla cessazione del rapporto, della prestazione o dell’operazione.
La struttura della bozza compilabile del documento AV.0
Per facilitare l’aggiornamento, il modello AV.0 può essere replicato all’interno dello studio con la struttura descritta di seguito. Si tratta di una traccia operativa che riprende fedelmente l’articolazione raccomandata dal CNDCEC.
Frontespizio
Documento di autovalutazione del rischio di riciclaggio, finanziamento del terrorismo e finanziamento della proliferazione dello studio professionale.
Professionista o Studio: [●]
Codice fiscale e partita IVA: [●]
Sede: [●]
Periodo di riferimento: aggiornamento al [●]
Data di approvazione e sottoscrizione: [●]
Fonte metodologica: Regola Tecnica n. 1 CNDCEC 2025, Informative CNDCEC n. 85/2025 e n. 57/2026, Indicazioni operative CNDCEC 2026.
Misurazione del rischio inerente
| Fattore | Dato rilevato | Punteggio (1-4) | Motivazione |
|---|---|---|---|
| Tipologia clientela | [n. clienti rafforzata / n. clienti totali = %] | [●] | [●] |
| Area geografica di operatività | [n. clienti/operazioni aree a rischio / totale = %] | [●] | [●] |
| Canali distributivi | [incidenza remoto/intermediari/pagamenti atipici] | [●] | [●] |
| Servizi professionali offerti | [% prestazioni non/poco significative sul totale] | [●] | [●] |
| Media rischio inerente A | [●] | ||
Misurazione della vulnerabilità
| Fattore | Presidio esistente | Punteggio (1-4) | Carenze ed evidenze |
|---|---|---|---|
| Formazione | [corsi, circolari, aggiornamenti, collaboratori formati] | [●] | [●] |
| Adeguata verifica | [procedura, AV.1, AV.4, fascicoli, controllo costante] | [●] | [●] |
| Conservazione | [fascicolo, software, archiviazione, tempi, reperibilità] | [●] | [●] |
| SOS e contante | [procedura anomalie, indicatori UIF, canale interno, monitoraggio contante] | [●] | [●] |
| Media vulnerabilità B | [●] | ||
Determinazione del rischio residuo
| Componente | Formula | Risultato |
|---|---|---|
| Rischio inerente ponderato | A × 0,40 | [●] |
| Vulnerabilità ponderata | B × 0,60 | [●] |
| Rischio residuo | A × 0,40 + B × 0,60 | [●] |
| Classe di esposizione | 1 / 1,6 / 2,6 / 3,6 (soglie CNDCEC) | [●] |
Piano di mitigazione
| Vulnerabilità o rischio | Azione | Responsabile | Scadenza | Evidenza attesa |
|---|---|---|---|---|
| Fascicoli non aggiornati | Aggiornamento AV.1/AV.4 e controllo costante | [●] | [●] | Campione fascicoli aggiornato |
| Formazione non formalizzata | Corso AML e circolare interna | [●] | [●] | Attestati, verbale interno |
| Procedura SOS non scritta | Redazione procedura e selezione indicatori UIF | [●] | [●] | Procedura firmata |
La checklist finale prima della firma
Prima di firmare il documento e archiviarlo, conviene verificare l’effettiva presenza di tutti gli elementi che rendono l’autovalutazione difendibile. La checklist che segue raccoglie i passaggi più frequentemente trascurati nelle verifiche.
| Voce di controllo | Cosa verificare |
|---|---|
| Fonti | Salvare PDF e URL di Regole Tecniche, Informative 85/2025 e 57/2026, Indicazioni operative, modulistica, Analisi nazionale, indicatori UIF e indicatori CNDCEC |
| Perimetro | Indicare se l’autovalutazione riguarda il singolo professionista, lo studio associato o la STP |
| Dati clienti | Estrarre totale clienti, clienti rafforzata, clienti con collegamenti esteri/aree a rischio, clienti dichiarativi, clienti continuativi e occasionali |
| Prestazioni | Classificare le prestazioni principali secondo rischio inerente e verificare l’incidenza delle prestazioni non/poco significative |
| Canali | Motivare incarichi da remoto, collaborazioni esterne, pagamenti, deleghe, domiciliazioni e modalità operative atipiche |
| Formazione | Allegare attestati o evidenze di aggiornamento per titolare e collaboratori |
| Adeguata verifica | Verificare presenza di procedure, fascicoli, AV.1, AV.4 e controllo costante |
| Conservazione | Documentare modalità cartacea, informatica o mista, accessi, integrità, reperibilità e tempi di conservazione |
| SOS e contante | Allegare procedura interna e indicatori UIF selezionati |
| Numeri e motivazioni | Per ogni punteggio inserire dato sottostante, fonte interna e ragionamento discorsivo |
| Mitigazione | Se rischio residuo almeno “abbastanza significativo”, indicare azioni, responsabili e scadenze |
| Firma e archiviazione | Firmare il documento e conservarlo con allegati probatori in fascicolo AML di studio |
Note operative conclusive per lo studio
Per uno studio professionale piccolo o medio il punto più fragile dell’autovalutazione non è solitamente la formula di calcolo, ma la prova dell’iter logico seguito. In una verifica occorre poter mostrare quali dati sono stati considerati, perché i punteggi attribuiti sono coerenti con quei dati e quali presidi esistono realmente sul piano organizzativo. L’approccio consigliato è quindi predisporre un fascicolo unico denominato “Autovalutazione AML 2026” contenente il documento firmato, il foglio di calcolo, le fonti, le evidenze formative, le procedure e un campione dei fascicoli cliente.
La modulistica CNDCEC va trattata come standard prudenziale: non è obbligatoria in senso formale, ma consente di dimostrare in modo ordinato il processo logico seguito e riduce il rischio che l’autovalutazione appaia generica o solo formale. In una verifica, il documento più convincente sarà sempre quello che unisce AV.0 compilato, motivazioni testuali, dati interni e piano di miglioramento, non quello che si limita a riportare un punteggio finale privo di contesto.
Il presente articolo ha finalità informative e divulgative. Per l’applicazione concreta agli adempimenti di studio si consiglia di consultare le fonti istituzionali richiamate e, in attesa di eventuali ulteriori chiarimenti, di adottare un approccio prudenziale nella documentazione del processo di autovalutazione.