WebProfessionisti
Tutte le guide
Strumenti StudioCommercialisti

Software antiriciclaggio per commercialisti: guida agli obblighi 2026

10 min letturaStrumenti StudioDi Edoardo Avantifiori
In sintesi

Il D.Lgs. 231/2007 impone ai commercialisti adeguata verifica della clientela, fascicolo cliente, profilatura del rischio, conservazione decennale e segnalazione alla UIF. Un software AML non è un optional: è l'unico modo pratico per gestire l'approccio basato sul rischio su decine o centinaia di clienti. Questa guida spiega quali funzionalità cercare e come valutare le soluzioni disponibili in linea con le indicazioni CNDCEC.

Il D.Lgs. 231/2007 non è una formalità burocratica: per i commercialisti rappresenta un impianto normativo esigente, con sanzioni amministrative fino a 150.000 euro e, nei casi più gravi, riflessi penali. Gestire gli adempimenti antiriciclaggio su decine o centinaia di clienti con fogli Excel e archivi cartacei è diventato oggettivamente rischioso. Questa guida analizza cosa richiede la norma, quali funzionalità deve avere un software per supportare l'approccio basato sul rischio e come valutare le soluzioni disponibili senza farsi guidare da classifiche commerciali.

Questo contenuto è divulgativo. Le valutazioni operative in materia di antiriciclaggio devono essere effettuate dal professionista sotto la propria responsabilità. Verifica sempre con il tuo Ordine di appartenenza e consulta le linee guida CNDCEC aggiornate prima di adottare qualsiasi procedura.

Il quadro normativo: cosa impone il D.Lgs. 231/2007 ai commercialisti

Il decreto recepisce le Direttive UE in materia di prevenzione del riciclaggio di denaro e finanziamento del terrorismo (IV e V Direttiva AML), successivamente aggiornato con il D.Lgs. 90/2017 e il D.Lgs. 125/2019. Per i dottori commercialisti ed esperti contabili, gli obblighi si articolano in cinque aree principali.

Adeguata verifica della clientela (AVC)

L'adeguata verifica (artt. 17-30 D.Lgs. 231/2007) richiede di identificare il cliente e verificarne l'identità, identificare l'eventuale titolare effettivo, acquisire informazioni sullo scopo e sulla natura del rapporto professionale, e monitorare nel tempo la coerenza dell'attività del cliente con il profilo dichiarato.

La verifica non è un atto una tantum: va aggiornata ogni volta che cambiano le circostanze rilevanti o su base periodica in funzione del livello di rischio assegnato. I soggetti politicamente esposti (PEP) richiedono sempre la verifica rafforzata, indipendentemente dalla valutazione iniziale del rischio.

Fascicolo cliente

Per ogni cliente sottoposto ad adeguata verifica, il professionista è tenuto a costituire e tenere aggiornato un fascicolo con tutta la documentazione raccolta: documento d'identità, visura camerale, eventuale documentazione sul titolare effettivo, dichiarazioni del cliente sullo scopo del rapporto, e la scheda di valutazione del rischio.

Le linee guida CNDCEC indicano il contenuto minimo del fascicolo e i modelli di scheda di valutazione. Uno studio con 80-150 clienti continuativi — dimensione tipica per uno studio associato medio — produce una mole documentale significativa che richiede un sistema di archiviazione strutturato.

Valutazione e profilatura del rischio

L'approccio basato sul rischio è il cuore metodologico della normativa. Il professionista deve assegnare ad ogni cliente un profilo di rischio (basso, medio, alto) basandosi su:

  • Fattori di rischio cliente: natura giuridica, struttura proprietaria, attività economica, comportamento anomalo
  • Fattori geografici: residenza in paesi a rischio elevato secondo le liste FATF/GAFI o con carenze nei sistemi AML
  • Fattori relativi alla prestazione: tipologia di operazione, complessità, importo

La profilatura deve essere documentata e motivata. Non basta un punteggio numerico automatico: il professionista deve poter dimostrare il ragionamento sottostante.

Conservazione decennale

Ai sensi dell'art. 31, tutta la documentazione raccolta ai fini AML deve essere conservata per 10 anni dalla data di cessazione del rapporto o dall'esecuzione dell'operazione occasionale. I documenti devono essere recuperabili entro i termini imposti dalla UIF o da altre autorità di vigilanza.

Segnalazione di operazioni sospette alla UIF

Quando il professionista ravvisa elementi che possono configurare operazioni di riciclaggio o finanziamento del terrorismo, è obbligato a inviare una Segnalazione di Operazione Sospetta (SOS) attraverso la piattaforma INFOSTAT-UIF della Banca d'Italia. La segnalazione deve essere tempestiva e completa. È vietato comunicare al cliente l'avvenuta segnalazione (divieto di tipping off, art. 39 D.Lgs. 231/2007).

Le linee guida CNDCEC pubblicano periodicamente gli indicatori di anomalia per i professionisti contabili: strumenti di orientamento non vincolanti ma fondamentali per strutturare la valutazione del sospetto.

Perché un software AML non è un optional

Uno studio commercialista con 100 clienti continuativi deve gestire 100 fascicoli, aggiornare periodicamente le valutazioni del rischio, monitorare le scadenze di rinnovo delle verifiche, conservare documenti per 10 anni e tenere traccia di eventuali SOS inviate. Farlo manualmente espone a tre rischi concreti:

  1. Incompletezza documentale: il fascicolo incompleto è già una violazione sanzionabile
  2. Tardività degli aggiornamenti: i cambiamenti nel profilo cliente passano inosservati
  3. Difficoltà in sede di ispezione: l'Ordine e la Guardia di Finanza verificano la tenuta delle procedure; la documentazione dispersa in più sistemi rende impossibile dimostrare la compliance

Un software dedicato non sostituisce il giudizio professionale, ma riduce drasticamente il rischio operativo e il tempo impiegato nella gestione documentale.

Funzionalità essenziali di un software AML per commercialisti

Valuta le soluzioni sulla base di questi requisiti funzionali. Le linee guida CNDCEC non prescrivono software specifici, ma questo elenco riflette i contenuti obbligatori della normativa.

Gestione anagrafica e documentale del fascicolo cliente

Il sistema deve consentire di creare e aggiornare l'anagrafica del cliente con tutti i campi richiesti dalla norma: dati identificativi, natura giuridica, partita IVA/codice fiscale, titolari effettivi (con la struttura proprietaria fino al beneficiario finale secondo le soglie del 25% di cui all'art. 20 D.Lgs. 231/2007), PEP e relative relazioni.

L'archiviazione dei documenti deve essere strutturata, con data di scadenza sui documenti soggetti a rinnovo (carte d'identità, visure camerali) e alert automatici prima della scadenza.

Scheda di valutazione del rischio conforme CNDCEC

La scheda di risk assessment deve incorporare i fattori di rischio previsti dall'Allegato tecnico al D.Lgs. 231/2007 e dalla metodologia CNDCEC: fattori cliente, geografici, operativi. Il profilo di rischio deve essere calcolabile in modo tracciabile e il professionista deve poter inserire note qualitative a motivazione del punteggio.

La scheda deve essere versionata: ogni modifica deve generare uno storico con data, utente e motivazione. Questo è fondamentale in caso di ispezione.

Workflow di adeguata verifica con tracking delle fasi

Il software deve guidare il professionista attraverso le fasi dell'AVC (prima identificazione, verifica titolare effettivo, valutazione scopo rapporto, verifica periodica) con lo stato di completamento visibile. I clienti con AVC incompleta o scaduta devono essere immediatamente identificabili in una dashboard.

Alert e pianificazione delle verifiche periodiche

La frequenza delle verifiche periodiche varia in base al profilo di rischio: più frequente per i clienti ad alto rischio. Il sistema deve generare automaticamente le scadenze di rinnovo e avvisare il professionista (via email o notifica interna) con anticipo sufficiente.

Modulo SOS con log immutabile

La gestione delle segnalazioni alla UIF deve avvenire con un registro dedicato, con log immutabile (data, ora, operatore, contenuto) che non consenta modifiche retroattive. Il registro deve essere separato dal normale fascicolo cliente per tutelare il divieto di tipping off: l'eventuale SOS non deve essere visibile dagli applicativi di gestione quotidiana del cliente.

FunzionalitàPrioritàNote
Fascicolo cliente con gestione titolare effettivoObbligatoriaStruttura proprietaria fino al 25%
Scheda risk assessment versionataObbligatoriaConforme metodologia CNDCEC
Tracking fasi AVCObbligatoriaCon stati e alert scadenze
Conservazione decennale con exportObbligatoriaBackup e ripristino documentati
Modulo SOS con log immutabileObbligatoriaSeparato dalla gestione ordinaria
Alert PEP e liste sanzionateRaccomandataAggiornamento automatico liste
Dashboard compliance per titolare studioRaccomandataVista aggregata su tutto il portafoglio
Integrazione con software gestionaleOpzionaleDipende dall'ecosistema dello studio

Conservazione a norma con export documentato

Il sistema deve garantire la conservazione dei dati per 10 anni con procedure di backup certificate e la possibilità di estrarre tutta la documentazione relativa a un singolo cliente in formato consultabile, entro i termini richiesti dalle autorità.

Verifica che il fornitore del software garantisca la conservazione dei dati anche in caso di cessazione del servizio: inserire questa clausola nel contratto è un obbligo di diligenza professionale, non una precauzione opzionale.

Come scegliere: i criteri di valutazione

Conformità alle linee guida CNDCEC

Il criterio principale non è il prezzo o l'interfaccia: è la conformità ai contenuti minimi indicati dal CNDCEC. Prima di valutare qualsiasi soluzione, scarica le linee guida aggiornate dal sito ufficiale del Consiglio Nazionale e verifica, punto per punto, che il software copra ogni adempimento documentale richiesto.

Aggiornamenti normativi garantiti

La normativa AML si evolve: recepimento di nuove Direttive europee, aggiornamento delle liste FATF, nuovi indicatori di anomalia UIF. Il fornitore deve garantire contrattualmente il rilascio degli aggiornamenti alla normativa con tempistiche definite. Uno studio professionalmente esposto non può gestire adempimenti normativi con software fermi alla versione 2021.

Privacy e GDPR by design

Il fascicolo cliente contiene dati personali sensibili. Il software deve rispettare i requisiti GDPR: titolare/responsabile del trattamento definiti contrattualmente, registro dei trattamenti gestibile, gestione delle retention policy (il dato AML si conserva 10 anni, ma solo quello). Il DPA (Data Processing Agreement) con il fornitore è obbligatorio.

Sicurezza e accesso multi-utente

Gli studi associati richiedono profili di accesso differenziati: il titolare vede tutto, i collaboratori accedono ai propri clienti, il responsabile AML ha visibilità aggregata. Il sistema di permessi deve essere granulare e loggato. L'autenticazione a due fattori è fortemente raccomandata.

Supporto e formazione

La corretta applicazione delle procedure AML richiede formazione iniziale e aggiornamenti periodici (art. 46 D.Lgs. 231/2007 prevede l'obbligo di formazione del personale). Un fornitore che offre solo il software senza documentazione o supporto formativo non è adeguato per questo tipo di adempimento.

La scelta del software antiriciclaggio è una decisione che riguarda la responsabilità professionale del commercialista. Il D.Lgs. 231/2007 non trasferisce la responsabilità al fornitore del software: in caso di ispezione, risponde il professionista. Adottare uno strumento non conforme è equivalente a non adottarne alcuno.

Il caso di uno studio associato: come cambia la gestione AML

Uno studio associato di commercialisti con sede a Torino — tre soci, sei collaboratori, circa 200 clienti continuativi tra imprese e privati con attività rilevante — ha rivisto le proprie procedure AML nel 2025 a seguito di un'ispezione dell'Ordine che aveva rilevato fascicoli incompleti su circa il 30% dei clienti.

Il problema non era la volontà di adempiere, ma la frammentazione: documenti in cartelle di rete non strutturate, schede di valutazione del rischio in Excel non versionati, nessun sistema di alert sulle scadenze. La ricostruzione documentale per l'ispezione aveva richiesto circa 40 ore di lavoro da parte di un collaboratore senior.

Dopo l'adozione di un software dedicato, il tempo mensile stimato per la gestione ordinaria degli adempimenti AML si è ridotto da 15-20 ore a 5-7 ore. La parte rimanente è stata reindirizzata alla verifica qualitativa dei profili di rischio — che è la parte che richiede davvero il giudizio professionale e che non può essere automatizzata.

Il dato più significativo: in sede di successiva verifica dell'Ordine, la documentazione era recuperabile in meno di 10 minuti per qualsiasi cliente del portafoglio.

Integrazione nel sistema gestionale dello studio

Un software AML isolato dal resto del gestionale genera duplicazione dei dati e rischio di disallineamenti anagrafici. Valuta se la soluzione che stai considerando si integra con il tuo gestionale principale (contabilità, parcellazione, CRM clienti), anche solo tramite importazione/esportazione CSV o API.

L'integrazione non è obbligatoria, ma riduce l'errore umano: se l'anagrafica cliente è aggiornata in un unico punto, il fascicolo AML riflette automaticamente le modifiche.

Per approfondire come strutturare l'ecosistema digitale dello studio, leggi la guida al miglior software per commercialisti e gli adempimenti privacy e GDPR per studi commercialisti.

Responsabilità del titolare dello studio e del responsabile AML

Il D.Lgs. 231/2007 prevede che gli studi con una struttura organizzata designino un responsabile delle procedure AML. Nei piccoli studi individuali il titolare coincide con il responsabile. Negli studi associati o strutturati, il responsabile AML ha il compito di:

  • Supervisionare l'applicazione delle procedure
  • Aggiornare la valutazione del rischio del portafoglio clienti
  • Formare il personale e i collaboratori
  • Gestire i rapporti con l'Ordine in caso di ispezione

Il software deve riflettere questa struttura organizzativa: il responsabile AML deve avere una vista aggregata su tutto il portafoglio, con indicatori di completezza e di anomalia.

Scarica la Checklist Sito Web

27 punti da verificare prima di pubblicare il sito del tuo studio. PDF gratuito.

Scarica gratis
WP

Redazione WebProfessionisti

WebProfessionisti è specializzata in siti web, SEO locale e marketing digitale per studi professionali italiani. Ogni guida è scritta e verificata dal nostro team di esperti.

Scopri i nostri servizi →

Sì. Il D.Lgs. 231/2007 include i dottori commercialisti ed esperti contabili tra i soggetti obbligati. L'obbligo riguarda adeguata verifica della clientela, tenuta del fascicolo cliente, valutazione del rischio, conservazione decennale e segnalazione di operazioni sospette alla UIF.

No. Il software è uno strumento di supporto organizzativo e documentale. La valutazione del rischio e la decisione di inviare o meno una SOS restano responsabilità intellettuale e deontologica del professionista, non delegabile a un sistema informatico.

Le sanzioni amministrative per violazioni degli obblighi AML variano da 2.000 a 150.000 euro a seconda della gravità e del tipo di violazione (artt. 56-67 D.Lgs. 231/2007). Le violazioni più gravi possono avere riflessi sul procedimento disciplinare dell'Ordine.

L'obbligo scatta per i clienti con cui si instaura un rapporto continuativo o per cui si eseguono operazioni occasionali rilevanti. La norma prevede soglie e criteri specifici per le operazioni occasionali. Per i rapporti continuativi (assistenza contabile, fiscale, societaria), l'AVC è sempre obbligatoria. --- <ResourceCTA title="Risorse gratuite per lo studio" description="Checklist, guide e template per organizzare lo studio commercialista e i suoi adempimenti: scaricali gratis dall'area risorse." /> --- Per una valutazione personalizzata di come digitalizzare le procedure del tuo studio, visita la pagina [strumenti e soluzioni per commercialisti](/servizi/commercialisti) oppure richiedi un [preventivo senza impegno](/preventivo).

Fonti e riferimenti

Termini dal glossario

GDPR

Il GDPR, Regolamento europeo sulla protezione dei dati personali, definisce principi e diritti per chi tratta dati di persone fisiche nell'Unione. Impatta siti web che raccolgono moduli, newsletter, cookie di profilazione o strumenti analytics. Gli obblighi includono base giuridica del trattamento, informativa chiara, misure di sicurezza e risposta agli esercizio dei diritti degli interessati. Per professionisti, spesso titolari e responsabili di trattamento, vanno mappate le finalità e aggiornati accordi con fornitori. Sanzioni e reputazione sono i rischi principali in caso di violazioni. Il sito deve rendere facile contattare il titolare e gestire consensi ove necessario. La compliance non è statica: nuovi strumenti marketing o chatbot richiedono rivalutazioni periodiche. Documentare le scelte in registro e policy aiuta dimostrabilità in audit.

Registro dei Trattamenti

Il registro delle attività di trattamento è la documentazione in cui il titolare o il responsabile annota finalità, categorie di interessati, categorie di dati, destinatari, trasferimenti extra UE, termini di conservazione e misure di sicurezza, come previsto dal GDPR per la maggior parte degli organismi non esentati. Per studi professionali che trattano dati di clienti e dipendenti, il registro è strumento di accountability e utile in audit o ispezioni. Deve essere aggiornato quando cambiano processi o software. Non è un documento pubblico integrale, ma va messo a disposizione dell'autorità di controllo. La forma può essere digitale; esistono modelli e software dedicati. Confondere registro con privacy policy esterna al sito è un errore: sono strumenti diversi. La mancanza o l'obsolescenza del registro espone a sanzioni e incertezza interna su chi fa cosa con i dati.

Firma digitale

La firma digitale è uno strumento crittografico che garantisce autenticità e integrità di un documento elettronico, diversamente dalla semplice firma elettronica grafica o dal click di accettazione. In Italia, i certificati qualificati e le soluzioni riconosciute consentono di produrre atti con valore legale in molti rapporti con la PA e tra privati, secondo normativa europea e nazionale. Per studi professionali, integrare la firma digitale nei flussi di onboarding dei clienti accelera contratti e deleghe senza carta. È importante informare gli utenti su passaggi, conservazione e revoche. Dal punto di vista del sito, pagine che spiegano come inviare documenti in modo sicuro riducono attriti e supportano la conformità. Aggiornarsi sulle evoluzioni eIDAS e sulle piattaforme certificate evita uso di strumenti non idonei. La firma digitale non sostituisce sempre la PEC per certe comunicazioni obbligatorie: verificare caso per caso.

CRM (Customer Relationship Management)

Un CRM, customer relationship management, è un sistema per registrare contatti, interazioni e opportunità lungo il ciclo di vita del cliente. Per studi professionali, centralizza richieste da sito, telefono e email, assegna follow-up e riduce la perdita di pratiche per dimenticanze. Funzioni utili includono promemoria, modelli di comunicazione conformi alle policy interne e report su fonti di acquisizione. La scelta tra CRM generici e verticali legali o sanitari dipende da integrazioni con gestione pratiche e volumi. Addestrare il team all'inserimento dati uniforme è crucio: un CRM sporco genera analisi inaffidabili. Collegare il CRM agli strumenti di marketing consente di misurare il costo per lead e il ritorno sulle campagne. La sicurezza e il trattamento dati devono rispettare GDPR e accordi con il fornitore cloud.