Il Sole 24 Ore lunedì 15 gennaio 2024 di Giuseppina Satta

Se è provata l’imprudenza del cliente nel condividere i codici di accesso

La banca non deve rimborsare al cliente vittima di phishing le somme sottrattegli dal conto corrente se dimostra la sua condotta «fortemente imprudente» nell’aver comunicato al truffatore le credenziali di accesso. Lo ha precisato il Tribunale di Roma con la sentenza 16588 del 15 novembre scorso.

Il caso

A rivolgersi al tribunale è stato un cliente, che ha agito contro la banca presso la quale aveva attivato un rapporto di conto corrente con servizio di pagamenti telematici. Il cliente invocava il grave inadempimento contrattuale dell’istituto per non aver impedito – in assenza di adeguati sistemi di sicurezza – l’illecita captazione dei suoi codici di accesso al servizio di home banking e per aver consentito a terzi di sottrarre somme dalla sua carta di debito prepagata. Di qui la richiesta di rimborso.

La banca declinava ogni responsabilità, ritenendo che la truffa fosse stata realizzata in conseguenza della negligente condotta del cliente.

La decisione

Secondo il tribunale, il cliente non ha diritto a ottenere il risarcimento dalla banca. Questa ha infatti dimostrato di avere predisposto un sistema di autenticazione forte a doppio fattore per l’accesso al servizio di home banking (come previsto dal decreto legislativo 11/2010), consistente nell’utilizzo combinato di password statiche e password dinamiche utilizzabili una volta sola e generate dall’applicazione della banca installata sullo smartphone del cliente. Ma queste cautele sono state neutralizzate dalla condotta del cliente che, prima, si è collegato a un link contenuto in un messaggio (che sembrava inviato dalla banca), inserendo i codici di accesso al servizio di home banking; poi, ha comunicato al frodatore – che nel frattempo l’aveva contattato telefonicamente – anche le password variabili di accesso al conto, consentendo così il compimento della truffa. Infine, il cliente ha persistito nella sua condotta anche dopo aver ricevuto gli alert dalla banca circa l’imminente compimento delle operazioni dispositive.

Il tribunale ha quindi valutato il comportamento del correntista come «fortemente imprudente», anche tenuto conto che la banca aveva realizzato una massiccia campagna antifrode proprio concentrata sul fenomeno del phishing, esortando i clienti a non condividere con altri le credenziali di accesso al conto.

Per il tribunale, le frodi perpetrate mediante phishing sono talmente diffuse e note da rendere inescusabile la condotta dell’utente dei servizi di pagamento che decida di comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario.

Il Sole 24 Ore 3 gennaio 2024 di Alessandro Curioni (Esperto di cyber security)

SCENARI 2024/SICUREZZA

La strada che porta le nostre Pmi verso la cyber security non è lunga, ma lunghissima, non difficile, ma difficilissima. I numeri non lasciano dubbi. Il 72,7 % non ha mai svolto attività di formazione in materia; il 79% non adotta l’autenticazione a due fattori per tutti i suoi dipendenti, il 65,3 % non ha mai effettuato verifiche sulla sicurezza dei propri sistemi, per esempio attraverso un penetration test, il 73,3 % non sa cosa sia un attacco ransomware e il 51,9 % degli intervistati ammette di non sapere cosa sia il phishing.

I dati sono significativi non soltanto perché il campione è di

oltre 800 aziende, ma anche per i player convolti, molto vicini allo specifico mercato: Grenke, azienda di leasing operativo leader proprio nel segmento Pmi, e Clio Security, che opera come società

di consulenza nel medesimo ambito, che hanno affidato a Cerved, forte di una base dati consolidata di circa 700 mila imprese,

la raccolta delle informazioni.

I numeri sono senza dubbio rappresentativi e presi singolarmente ci dicono quanto sia grande la distanza che separa la spina dorsale della nostra economia da un corretto approccio alla cyber security, ma è dalla loro analisi che scopriamo perché questa via sia anche difficilissima. In questo senso una prima indicazione arriva da quel 59,7% di rispondenti che dichiara come il tema della cyber security rivesta un’elevata importanza per la propria organizzazione. Apparentemente sembra del tutto incongruo rispetto alle desolanti percentuali di cui sopra. In realtà una spiegazione esiste ed emerge se prendiamo in considerazione altri dati. Il primo si rileva dalle ragioni per cui il 40,3 % delle imprese non considera la cyber security rilevante. Nel 60 % dei casi affermano che la motivazione risiede nel fatto di non trattare dati sensibili, con un riferimento indiretto al mondo della privacy, elemento che viene confermato da quel 75,1 % di rispondenti che ritiene adeguate le misure adottate dalla sua azienda per la protezione dei dati personali. Aggiungiamo infine che quel 37,3 % di aziende che ritiene di avere svolto attività di formazione per i suoi dipendenti, nel 60 % dei casi l’ha affidata al Data Protection Officer, figura prevista dal Regolamento Europeo per la Protezione dei Dati.

Tali dati segnalano piuttosto chiaramente che le nostre Pmi, nella stragrande maggioranza dei casi, si sono create un’immagine mentale per cui la cyber security si riduce alla conformità rispetto alle normative in materia di protezione dei dati, ignorando completamente che si tratta di due temi molto diversi. Questa situazione produce effetti deleteri perché da un lato stabilisce un senso di falsa di sicurezza, dall’altro determina una resistenza psicologica a investire su problematiche che si ritiene di avere risolto. In questo senso un’indicazione indiretta, che peraltro sfata un diffuso luogo comune, ci arriva dal fatto che appena il 2,4 % del 40,3% delle aziende che non considera la cyber security una priorità (parliamo quindi di una percentuale ridicola) dichiara di non avere denaro da investire sul tema. In buona sostanza quello che si pensava fosse un problema di risorse è invece diventato culturale: e purtroppo, in quanto tale, ha il difetto di appartenere alla categoria di quelli più difficili da risolvere.

Il fatto che il tema della cultura sia una criticità lo dimostra un’altra evidenza. Nello specifico è necessaria una premessa. Precisiamo subito che il rispondente alle interviste è stata la persona che all’interno dell’azienda prende le decisioni in materia di cyber security. Nel 32 % dei casi è risultato essere il titolare, nel 53,5% un altro soggetto con mansioni diverse all’interno dell’organizzazione, nel 9,6 % il Chief information officer e solo nel 4,6 % il responsabile della sicurezza che poteva essere il Chief security officer o Chief information security officer. La carenza di personale specialistico o comunque con competenze adeguate produce una conoscenza pressoché nulla sia delle tecnologie di cyber security sia delle forme più diffuse di attacco informatico.

A titolo esemplificativo, l’85% degli intervistati non conosce l’attacco noto come DDoS (Distributed Denial of Service), nonostante questa sigla da almeno un anno imperversi su tutti i media. Analogamente il 91,1% non sa cosa sia un Xdr (Extended Detection And Response), senza dubbio una tecnologia evoluta per la prevenzione degli attacchi, ma che da anni è ben nota a chi si occupa di cyber security. In definitiva questa ricerca ci pone di fronte a una situazione estremamente critica. Le nostre Pmi sono convinte di essere «sicure» sulla base di una falsa equivalenza tra cyber security e protezione dei dati, una situazione che renderà molto difficile spingerle verso un miglioramento della loro postura. Questo non soltanto in una situazione di costante crescita degli attacchi, ma anche a poco più di un anno dall’entrata in vigore di due normative europee che pongono una forte attenzione sulla sicurezza della supply chain di cui tantissime di queste Pmi sono parte integrante. Il riferimento è al Regolamento Dora, per la resilienza del sistema finanziario europeo, e alla Direttiva Nis 2, destinata a elevare il livello di cyber security delle infrastrutture critiche, ma non solo.

Lo scenario che si apre per il sistema delle Pmi italiane non è più soltanto quello di subire un attacco che le metta in ginocchio, ma anche la concreta possibilità di trovarsi a scalare rapidamente e verso il basso le classifiche dei fornitori di grandi aziende

e pubbliche amministrazioni di tutta Europa che

progressivamente dovranno introdurre proprio la cyber security come elemento qualificante dei propri partner. Tra la fine

del 2024 e l’inizio del 2025 centinaia di migliaia di aziende italiane potrebbero trovarsi alle prese con una tempesta, magari non perfetta, ma senza dubbio terribilmente lunga.

Esperto di cyber security

Il Sole 24 Ore 27 dicembre 2023 di Giuseppe Marini

PERSONE FISICHE I NUOVI CRITERI

Con l’articolo 1 del Dlgs sulla fiscalità internazionale, approvato in via definitiva dal Consiglio dei ministri del 19 dicembre 2023, sono stati riscritti i criteri attributivi della residenza fiscale per le persone fisiche. Per effetto di tale modifica la residenza fiscale viene oggi ricollegata a:

1 residenza ai sensi del Codice civile;

2 domicilio inteso come luogo in cui si sviluppano, in via principale, le relazioni personali e familiari della persona;

3 presenza nel territorio dello Stato.

Tali requisiti, come era previsto anche nella precedente disciplina, sono tra loro alternativi; sicché, il verificarsi di uno soltanto di essi per la maggior parte del periodo di imposta è sufficiente ai fini della attribuzione della qualità di residente nel territorio dello Stato e della relativa tassazione dei redditi ovunque prodotti.

I nuovi criteri (quello del domicilio individuato in modo autonomo rispetto all’istituto previsto nel Codice civile e quello della mera presenza nel territorio dello Stato), pur essendo stati introdotti al dichiarato fine di semplificare e dare certezza nei rapporti fisco/contribuente, pongono dubbi interpretativi e di costituzionalità.

Prima della modifica era controverso il significato da riconoscere alla nozione di domicilio in base al Codice civile (richiamata dalla norma tributaria) il cui verificarsi per un periodo ultrasemestrale comportava l’attribuzione della qualifica di residente.

L’intervento normativo spariglia il quadro precedente. In particolare non sembra aver aderito in toto ad alcuna posizione giurisprudenziale laddove veniva comunque riconosciuta rilevanza ad affari e interessi patrimoniali, circoscrivendo la questione interpretativa alla prevalenza o meno di tali interessi su quelli affettivi e familiari.

Il nuovo domicilio (attributivo della residenza fiscale) viene, invece, individuato, nel luogo in cui si sviluppano in via principale le relazioni personali e familiari della persona. Non vi è più traccia degli interessi e degli affari economico-patrimoniali. Ciò significa che per attribuire la residenza fiscale l’agenzia delle Entrate dovrà procedere a una misurazione delle relazioni personali e familiari del contribuente e solo se queste si trovano in via principale in Italia il soggetto potrà essere considerato fiscalmente residente. Per relazioni personali cosa deve intendersi? Le amicizie? Se così fosse per emettere un accertamento l’Agenzia dovrebbe prima procedere al censimento degli amici sparsi nel mondo e se, a seguito di tale censimento, risultasse la prevalenza degli stessi in Italia (sotto il profilo quantitativo o qualitativo?) potrà/dovrà contestare la residenza al soggetto.

Non sembra un criterio di collegamento ragionevole difettando la giustificazione logico giuridica del principio di tassazione su base mondiale che dovrebbe essere individuato nell’appartenenza economica del consociato alla comunità stato.

Si poteva – in conformità a una parte della giurisprudenza – tutt’al più disegnare il nuovo domicilio (attributivo della residenza fiscale) nel senso che allorché gli interessi patrimoniali e quelli affettivi e personali non fossero riferibili a un’unica giurisdizione, dovesse essere privilegiata la lettura che dava prevalenza agli interessi di natura personale. Ma la lettera della nuova norma esclude (invece) del tutto la rilevanza degli affari patrimoniali. Il che potrebbe anche comportare una riduzione dell’estensione dei soggetti fiscalmente residenti. Ma allora cui prodest? Per superare tali dubbi si potrebbe sposare un’interpretazione conforme a Costituzione forzando il dato letterale per ricomprendere nella locuzione «relazioni personali» gli affari economico-patrimoniali. Ciò determinerebbe un ritorno al passato riproponendosi la dicotomia interessi patrimoniali/interessi affettivi.

Ulteriori perplessità si riscontrano nell’altro (nuovo) criterio della (mera) presenza ultrasemestrale in Italia. Finora la presenza fisica era correlata all’individuazione dei concetti di domicilio o residenza. Con le modifiche normative intervenute sarà da ritenere fiscalmente residente chi, per la maggior parte del periodo di imposta, è presente nel nostro Paese e ciò a prescindere da residenza e/o domicilio. È un criterio di collegamento che potrebbe anche lasciare spazio ad abusi nell’applicazione pratica.

In proposito si espone al rischio di essere considerato residente fiscalmente in Italia lo studente straniero che durante l’anno sarà presente per un periodo ultrasemestrale o la persona, residente e domiciliata all’estero, che si dovrà recare in Italia per prestare assistenza a un parente malato. Anche tale previsione pone dubbi di costituzionalità per violazione degli articoli 3 e 53 della Costituzione.

Vero è che l’operatività di questo criterio potrebbe essere esclusa nei casi in cui vi è copertura convenzionale per effetto della sottoscrizione di trattati contro la doppia imposizione da parte dell’Italia, dovendosi applicare il criterio delle tie breaker rules (articolo 4, paragrafo 2, del modello di convenzione Ocse). Ma, laddove non vi sia copertura convenzionale, il criterio si applica e potrebbe dare luogo a conseguenze irragionevoli. Forse sarebbe stato più opportuno introdurre questa previsione in forma di presunzione relativa.

Il Sole 24 Ore 27 dicembre 2023 di Eugenio Della Valle

PERSONE GIURIDICHE LE VARIABILI IN CAMPO

Le coordinate della revisione la residenza fiscale delle società e degli enti non societari – così come previsto dall’articolo 3, comma 1, lettera c) della delega fiscale (legge 111/2023) – sono la best practice internazionale, i trattati contro la doppia imposizione sottoscritti dall’Italia e il coordinamento con la stabile organizzazione.

L’articolo 2 del decreto delegato relativo alla fiscalità internazionale – approvato in via definitiva dal Cdm del 19 dicembre – si muove all’interno di tali coordinate intervenendo sui criteri di determinazione della residenza fiscale di società ed enti non societari sia sul versante Ires che su quello Irpef (società di persone residenti e soggetti assimilati), rendendo coerente l’intervento con la disciplina dell’esterovestizione (articolo 73, comma 5-bis, del Tuir).

La revisione si articola confermando, da un lato, il criterio formale della sede legale e sostituendo, dall’altro, i criteri sostanziali della sede dell’amministrazione e dell’oggetto principale (il primo abbandonato anche ai fini della presunzione del comma 5-bis dell’articolo 73 del Tuir) con quelli della «sede di direzione effettiva» (place of effective management, meglio noto con l’acronimo Poem) e della «gestione ordinaria in via principale». La prima definita come la continua e coordinata assunzione delle decisioni strategiche riguardanti la società o l’ente nel suo complesso e la seconda come il continuo e coordinato compimento degli atti della gestione corrente riguardanti, ancora, la società o l’ente nel suo complesso (il tutto fermo restando il profilo temporale).

La relazione illustrativa spiega le ragioni dell’intervento obliterativo dei criteri sostanziali della sede dell’amministrazione e dell’oggetto principale in funzione delle criticità interpretative che entrambi presentano (anche nei rapporti con la disciplina convenzionale per lungo tempo affidati a un’osservazione dell’Italia contenuta nel commentario all’articolo 4 del modello di trattato tipo Ocse). In particolare, nella relazione si legge che l’inserimento del criterio della «gestione ordinaria in via principale» tiene conto dell’orientamento di altri Paesi europei che lo impiegano se c’è «un effettivo radicamento della persona giuridica sul territorio, ma sorgono incertezze interpretative in merito al luogo di direzione effettiva», laddove, invece, l’impiego dell’espressione «in via principale» si giustifica come spartiacque rispetto alla figura della stabile organizzazione (e, invero, la gestione corrente di un ramo d’impresa configura una stabile organizzazione sub specie di sede di direzione o «place of management»). Ciò dovrebbe consentire di superare un orientamento della Cassazione penale che tende a sovrapporre i concetti di stabile organizzazione e residenza fiscale nell’esterovestizione.

In realtà, ove si abbia riguardo alla più recente giurisprudenza domestica di legittimità i “vecchi” criteri sostanziali della sede dell’amministrazione e dell’oggetto principale già erano letti conformemente ai nuovi (si veda la sentenza 1753/2023 della Cassazione).

Il concetto del Poem adottato dal decreto delegato non trova, però, corrispondenza a livello di orientamenti Ocse posto che la soluzione dei conflitti di residenza fiscale secondo il trend internazionale più recente, cui l’Italia si è uniformata in alcuni trattati (si veda, ad esempio, l’articolo 4 del trattato con il Canada del 2002 e con il Cile del 2015) è affidata a una Map, sebbene considerando a tal fine, insieme ad altri fattori, anche il Poem (il nostro Paese non ha optato per l’introduzione automatica di tale soluzione nei trattati esistenti, giusta la riserva apposta all’articolo 4 della Convenzione multilaterale).

Opportuno, infine, benché forse in sé insufficiente, il chiarimento della relazione illustrativa per cui, ai fini della direzione effettiva «non rilevano le decisioni diverse da quelle aventi contenuto di gestione assunte dai soci né le attività di supervisione e l’eventuale attività di monitoraggio della gestione da parte degli stessi». L’intenzione è di escludere la rilevanza ai fini dell’attività di direzione e coordinamento degli articoli 2497 e successivi del Codice civile, approdo al quale è pervenuta la giurisprudenza della Cassazione (sentenza 43809/2015): intenzione che, tuttavia, non è perfettamente coerente con l’ampiezza della formula definitoria della sede di direzione effettiva (la «continua e coordinata assunzione delle decisioni strategiche riguardanti la società o l’ente nel suo complesso»). E ciò perché nei gruppi multinazionali la società di vertice, o altra a ciò deputata, svolge compiti di regia verso le controllate. La nuova nozione di sede di direzione effettiva per alcuni (Contrino) non elimina così il rischio di un corto circuito tra normativa civilistica e fiscale e il collocamento presso la capogruppo italiana della residenza fiscale delle società estere che vi fanno capo.

Il Sole 24 Ore 6 dicembre 2023 di Alessandro Germani

Ultimi chiarimenti in vista della scadenza dell’11 dicembre

In previsione della scadenza di lunedì 11 dicembre per comunicare al registro imprese il titolare effettivo di società ed enti, Assonime con il documento Note e studi n. 8/2023 ripercorre in forma di Q&A una serie di casistiche anche alla luce delle recenti Faq di Mef, Bankitalia e Uif. Il documento segue il caso 1/2023 già emanato dall’Associazione. I criteri per individuare il titolare effettivo nelle società di capitali restano, come chiarito anche dalle Faq, nell’ordine gerarchico:

• la proprietà diretta o indiretta;

• il controllo;

• la titolarità di poteri di rappresentanza legale, amministrazione o direzione .

Nel caso di tre soci al 33, 33 e 34% saranno tutti e tre da indicare come titolari effettivi. Invece nel caso di partecipazioni pari o inferiori al 25% non si rientra nella casistica della titolarità attraverso la proprietà (quattro soci persone fisiche ciascuno al 25%). In caso di azioni con diritto di voto non proporzionale, si dovrebbero considerare titolari effettivi i soci con più del 25% di capitale sociale nonché quelli con diritti di voto superiori al 25% dei diritti di voto totali.

Nel caso di proprietà indiretta l’individuazione del titolare effettivo deve avvenire partendo dall’identificazione delle società titolari di una partecipazione superiore al 25% nel capitale della società cliente e qualificando come titolari effettivi tutte le persone fisiche che le controllano. Se Alfa è partecipagta al 30% da Beta e al 70% da Gamma, si dovranno individuare le persone fisiche che hanno il controllo di Beta e di Gamma.

Quando si utilizza il criterio residuale va considerato se indicare tutte le persone fisiche componenti gli organi di rappresentanza e direttivi oppure no. Anche in base alle Faq, occorrerà riferirsi a chi in concreto abbia il potere di gestione e di vincolare la società. Per cui si potrà trattare dell’amministratore delegato con deleghe generali operative o, in assenza di deleghe, chi abbia la rappresentanza legale (di solito il presidente del Cda) o le figure dirigenziali apicali con potere decisionale.

In presenza di gruppi societari bisognerà riferirsi ai titolari del potere di gestione della società cliente. Qualche criticità si potrà avere nelle multinazionali in cui la succursale italiana sia priva del potere decisorio in quanto lo stesso è affidato ad una figura dirigenziale ma esterna alla succursale.

La società italiana controllata da una società estera è tenuta comunque a comunicare il proprio titolare effettivo. Questo di fatto dovrebbe valere anche nel caso di società estera con sede secondaria in Italia. Ciò in linea con la Camera di commercio di Milano e il Consiglio nazionale del Notariato. Sarebbero escluse solo le società estere con mere unità locali iscritte al Rea. Al momento, in assenza del sistema di interconnessione dei registri europei dei titolari effettivi (Boris), l’obbligo permane anche per la società appartenente all’Ue con sede secondaria in Italia che nel suo paese è tenuta a comunicare il titolare effettivo.

Gli amministratori di società di capitali con una partecipazione superiore al 25% del capitale detenuta da fiduciaria dovranno acquisire le informazioni dalla stessa. Per le fondazioni, in caso non vi siano fondatori in vita o non si individuino i beneficiari e si vada quindi sui titolari di poteri di rappresentanza legale, direzione e amministrazione dell’ente, resta il dubbio se valga il criterio residuale oppure se debbano essere presi cumulativamente sia il presidente della fondazione sia tutti i singoli componenti del Cda.

Il Sole 24 Ore 7 dicembre 2023 di Giorgio Confente Nicola Galleani d’Agliano e Filippo Jacobacci

Prestazioni di servizi, l’obbligo di fatturazione scatta con il pagamento

Dall’Aidc di Milano i chiarimenti sull’articolo 6 del decreto Iva

L’obbligo di fatturazione non sussiste sino a che il servizio non è stato pagato. È questo il principale chiarimento contenuto nella norma di comportamento n. 223 dell’Associazione italiana dottodi Commercialisti di Milano.

Si tratta di un approdo non scontato, alla luce di recenti sentenze della Cassazione che, pur richiamando i principi delle sezioni unite (Cassazione, sezioni unite, decisione 8059/2016), giungono a conseguenze non sempre coerenti o, comunque, univoche e chiare (Cassazione 26650/2020, 9064/2021 e 37274/2022).

Il dubbio interpretativo sorge dall’infelice formulazione del comma 3 dell’articolo 6 del decreto Iva, il quale dispone che le prestazioni di servizi «si considerano effettuate» all’atto del pagamento del corrispettivo.

Ciò premesso, occorre osservare che, nell’ambito dei servizi, sono distinguibili due momenti.

Il primo è quello in cui si realizza il presupposto per l’applicazione dell’Iva, ovvero il fatto generatore. Si tratta del momento in cui il servizio viene materialmente eseguito.

Il secondo è quello in cui l’operazione si considera effettuata ex articolo 6 del decreto Iva, coincidente con l’incasso.

È questo secondo momento che genera il diritto dell’Erario a esigere l’imposta, che viene poi riscossa con un processo che si avvia con l’emissione della fattura.

La sola esecuzione materiale del servizio determina l’esigibilità dell’imposta solo nei casi specificamente previsti (prestazioni di cui all’articolo 7-ter del decreto Iva svolte a favore, ovvero da un soggetto non residente).

Anziché l’incasso, è poi rilevante il momento di maturazione dei corrispettivi, ma solo in taluni altri casi (prestazioni gratuite in autoconsumo, periodiche e non).

Al di fuori di tali deroghe legali, nella generalità dei casi, rimane rilevante, invece, il solo incasso.

A fondare la massima, una motivazione che esamina in profondità la lettera della norma, descrive il rapporto tra la normativa italiana e quella euro-unionale, ricostruisce i principali passaggi storici e giunge a proporre esempi tratti dal Dpr 633/1972, che, anche in via indiretta, rendono palese il pensiero del legislatore.

Punto nodale è l’articolo 6 del decreto Iva, che, sin dal titolo, al fine di individuare il momento di esigibilità, utilizza la locuzione «effettuazione delle operazioni», che, presa in sé, richiama il concetto di fatto generatore, ovvero quello di esecuzione «materiale» delle operazioni.

Tale travisamento, peraltro, avviene solo in quanto si tratta di una locuzione avente natura polisemica, il cui significato autentico deve essere tratto solo in stretta dipendenza dello stesso articolo 6, il quale fissa i criteri per l’esigibilità dell’imposta. L’auspicio è che il legislatore adotti scelte lessicali più nette.

Il Sole 24 Ore 15 dicembre 2023 di Alessandro Mastromatteo Benedetto Santacroce

Previsto un controllo ad hoc per lo scarto se è invalida la dichiarazione di intento

L’utilizzo del TD28 non sarà più limitato alle operazioni con San Marino

Scarto delle fatture elettroniche in presenza di dichiarazione d’intento invalidata e possibilità di utilizzare il tipo documento TD28 non solo per le operazioni con San Marino ma anche per comunicare i dati delle operazioni passive con l’estero nel caso di errata applicazione del reverse charge, con imposta addebitata dal fornitore non stabilito anche se identificato in Italia.

Dal 1° febbraio 2024 sarà operativa e applicabile la versione 1.8 delle specifiche tecniche sui tracciati xml delle e-fatture tra privati, rilasciata dall’agenzia delle Entrate il 12 dicembre scorso. Sempre relativamente ai fornitori esteri, nei dati anagrafici del cedente/prestatore è stata inoltre integrata la descrizione dell’identificativo del Paese.

Un’altra novità riguarda infine gli imprenditori agricoli in regime speciale che, valorizzando in maniera facoltativa il blocco informativo «altri dati gestionali», potranno ottenere una gestione automatica delle liquidazioni Iva.

Dichiarazioni di intento

È stato introdotto un apposito controllo, con codice errore 477, che determina il rifiuto della fattura elettronica emessa se viene riscontrata l’invalidità della dichiarazione di intento indicata nel campo «altri dati gestionali» dal fornitore.

Per contrastare le frodi Iva realizzate con utilizzo di falso plafond, già dal 1° gennaio 2022 vengono effettuate analisi di rischio, cui seguono attività di controllo sostanziale, per inibire il rilascio di lettere d’intento illegittime emesse da falsi esportatori abituali, invalidando inoltre quelle già utilizzate.

Una volta riscontrata l’irregolarità, le dichiarazioni emesse sono invalidate con comunicazione trasmessa sia al cliente esportatore abituale sia al fornitore destinatario della dichiarazione d’intento: come conseguenza, il fornitore deve emettere da quel momento in poi le proprie fatture con imposta e prevedere meccanismi di correzione di quelle emesse in precedenza con un titolo di non imponibilità.

Con l’introduzione di un controllo preventivo – al momento della ricezione della fattura da parte dello Sdi – relativo alla validità della dichiarazione di intento, saranno esclusi i casi in cui occorrerà procedere alla successiva correzione di fatture non imponibili Iva.

Reverse charge

Altra novità è quella che legittimerà l’utilizzo del tipo documento TD28 per comunicare i dati dell’operazione realizzata con l’estero ma non correttamente assoggettata al regime del reverse charge.

L’ipotesi è quella disciplinata dall’articolo 6, comma 9-bis.1, del Dlgs 471/1997 quando il cessionario/committente residente, anziché assolvere l’imposta con il regime dell’inversione contabile, abbia ricevuto una fattura cartacea con addebito dell’imposta in rivalsa dal fornitore non stabilito, ancorché identificato in Italia. In questo caso, e in mancanza di frode, è prevista l’irrogazione di una sanzione formale da 250 a 2mila euro.

Ai fini dell’esterometro e cioè della comunicazione del dato dell’operazione passiva estera, si potrà procedere a utilizzare il tipo documento TD28 secondo, peraltro, quanto era già stato anticipato dall’agenzia delle Entrate a inizio 2023, rispondendo ai quesiti sottoposti negli incontri con la stampa specializzata a commento della legge di Bilancio.

Imprenditori agricoli

Un produttore agricolo in regime speciale (come previsto dall’articolo 34 del decreto 633/1972), può valorizzare l’elemento TipoDato in maniera facoltativa utile per la gestione automatica della liquidazione Iva, utilizzando «ALI-COMP» se si cedono prodotti agricoli e ittici con aliquote compensate; «NO-COMP» per i prodotti non compresi nella parte prima della Tabella A e «OCC34BIS» nel caso di operazioni occasionali che rientrano nel regime contemplato dall’articolo 34-bis.

Il Sole 24 Ore 22 novembre 2023 di Giuseppe Latour

Un provvedimento rende operativa la Dac7: stretta su e-commerce e affitti brevi

Identificativo del venditore, giro d’affari maturato online, eventuali imposte trattenute e, in caso di locazione, dati dell’immobile affittato e numero di giorni di affitto. Sono solo alcune delle informazioni che i gestori di piattaforme digitali devono comunicare all’agenzia delle Entrate, secondo la direttiva europea Dac7 (2021/514 del Consiglio del 22 marzo 2021) e il decreto di recepimento italiano (Dlgs n. 32/2023).

Ieri un provvedimento firmato dal direttore dell’agenzia delle Entrate, Ernesto Maria Ruffini (Prot. n. 406671/2023) ha reso pienamente operative queste regole. Attraverso lo scambio automatico di informazioni sul reddito degli utenti che vendono prodotti o forniscono servizi con le piattaforme digitali, l’obiettivo è contrastare l’evasione fiscale a livello europeo.

Alla base di questo intervento c’è la difficoltà che, in tutti i paesi europei, le amministrazioni finanziarie incontrano nel ricostruire i ricavi realizzati attraverso le piattaforme web. Avendo spesso piattaforme collocate fuori dai confini nei quali operano, è sempre complicato ricostruire i volumi di affari ed effettuare eventuali contestazioni. Da qui nasce l’esigenza di avere a disposizione comunicazioni standardizzate a livello europeo.

Entro il 31 gennaio del 2024, allora, i gestori di piattaforme digitali residenti in Italia (e in alcuni casi anche i gestori stranieri “non-Ue”), dovranno comunicare all’agenzia delle Entrate i dati sulle vendite di beni e sulle prestazioni di servizi realizzate dagli utenti attraverso i loro siti e app. Entro il 29 febbraio, il Fisco italiano condividerà queste informazioni con le autorità degli altri paesi Ue, in base allo Stato di residenza del venditore, ricevendo a sua volta quelle relative ai venditori (persone fisiche o giuridiche) residenti in Italia.

Nello specifico, dovranno comunicare i dati i gestori di piattaforme residenti ai fini fiscali o costituiti o gestiti in Italia o dotati di una stabile organizzazione nel nostro Paese. I gestori esonerati dovranno inviare una «Comunicazione di assenza di dati da comunicare». Il provvedimento detta le regole anche per i Foreign Platform Operator (Fpo), ovvero i gestori stranieri non qualificati non-Ue, tenuti a comunicare i dati alle Entrate: è il caso, ad esempio, degli operatori che intermediano la locazione di immobili situati in Italia.

Le nuove regole andranno a colpire i marketplace che intermediano l’e-commerce (ad esempio, di vestiti), ma anche i portali per gli affitti brevi, oltre alle piattaforme di noleggio di qualsiasi mezzo di trasporto e, in generale, a tutto il mondo legato all’offerta di servizi alla persona. Restano, comunque, fuori alcuni soggetti. Ad esempio, sono esclusi i dati relativi ai grandi fornitori di alloggi nel settore alberghiero, per i quali l’amministrazione finanziaria dispone di altri flussi di dati. E, allo stesso modo, sono esclusi i piccoli inserzionisti, cioè i venditori per i quali il gestore di piattaforma abbia intermediato meno di 30 attività e l’importo totale del corrispettivo versato o accreditato non sia superiore a 2mila euro nel corso dell’anno. In qualche modo, per la Dac7, i soggetti troppo grandi o troppo piccoli non sono considerati a rischio.

Il Sole 24 Ore 23 novembre 2023 di Alessandro Germani

Cambiano due criteri su tre: entra pure la gestione ordinaria in via principale

Non rilevano la supervisione e il monitoraggio della gestione da parte dei soci

La residenza delle società nel testo del decreto legislativo Internazionalizzazione che è stato depositato in Parlamento (e di cui oggi inizia l’esame in commissione Finanze alla Camera) per la sua discussione appare invariata rispetto alla bozza in precedenza circolata. Ciò che varia è la formulazione rispetto al testo attuale del Tuir, per tenere conto di una serie di implicazioni emerse nel tempo. Ma vediamolo in dettaglio.

Nell’ambito dell’articolo 73 del Tuir la residenza effettiva di una società individua attraverso determinati parametri il luogo in cui la società deve considerarsi residente (comma 3) mentre l’esterovestizione (comma 5-bis) introduce una presunzione, imperniata sul controllo da parte di soggetti residenti o sull’amministrazione da parte di consiglieri residenti, di residenza in Italia di soggetti non residenti.

Per ciò che concerne la residenza fiscale l’attuale versione del Tuir prevede tre criteri alternativi, cioè la sede legale, la sede dell’amministrazione o l’oggetto principale. Anche la presenza di uno solo di questi implica la residenza nel territorio dello Stato. L’attuale testo del decreto Internazionalizzazione lascia questa struttura alternativa, ma modifica due elementi su tre. Resta infatti ferma la sede legale, e non può essere altrimenti visto che si tratta di un dato essenziale, anche se di natura formale, ma si modificano gli altri due visto che fanno il loro ingresso la sede di direzione effettiva e la gestione ordinaria in via principale.

La modifica normativa mira a chiarine anche il significato. Infatti, per sede di direzione effettiva si intende la continua e coordinata assunzione delle decisioni strategiche riguardanti la società o l’ente nel suo complesso. Mentre per gestione ordinaria si intende il continuo e coordinato compimento degli atti della gestione corrente riguardanti la società o l’ente nel suo complesso. Sembrano dei criteri decisamente più chiari per stabilire se una società si debba considerare residente in Italia, rispetto alla sede dell’amministrazione e all’oggetto principale. In particolare, come chiarito dalla stessa relazione illustrativa, essi hanno natura sostanziale. Inoltre, il fatto che siano posti l’uno dopo l’altro serve a superare il concetto della sede dell’amministrazione. La relazione chiarisce infatti che le attività di supervisione e di monitoraggio della gestione da parte dei soci devono considerarsi diverse dalla direzione effettiva e dalla gestione amministrativa corrente. Quindi sicuramente la sede di direzione effettiva viene mutuata dall’esperienza delle Convenzioni internazionali (place of effective management), ma va visto come qualcosa di differente rispetto all’elemento volitivo dei soci. Mentre la gestione ordinaria in via principale, elemento utilizzato da altri paesi europei, indica quegli atti attinenti al normale funzionamento della società nel suo complesso. L’inciso «in via principale» serve nel caso in cui solo una parte delle attività siano svolte nel territorio dello Stato e quindi vi può essere, nel caso, solo una stabile organizzazione.

Per gli organismi di investimento collettivo del risparmio resta la regola per cui si considerano residenti se istituiti in Italia. Anche per i trust il collegamento con lo Stato italiano resta invariato, nel senso che il trust estero sarà residente in Italia se almeno uno dei disponenti ed almeno uno dei beneficiari siano fiscalmente residenti nel territorio dello Stato. E lo stesso vale per quei trust per i quali un soggetto residente nel territorio dello Stato effettui un’attribuzione che importi il trasferimento di proprietà di beni immobili o la costituzione o il trasferimento di diritti reali immobiliari, anche per quote, nonché vincoli di destinazione sugli stessi. Ciò che cambia è la modalità di individuazione di questi trust esteri, perché il riferimento alla white list dell’articolo 168-bis del Tuir, articolo abrogato ormai dal 2015, viene sostituito dal riferimento alla lista dei paesi che consentono un adeguato scambio di informazioni, in base al Dm introdotto dall’articolo 11, comma 4, lettera c), del Dlgs 239/1996.

In base alle modifiche del comma 3 appare poi più netta e chiara anche la norma dell’esterovestizione (comma 5-bis) che per individuare la presunzione di residenza per i non residenti che controllano società italiane e sono controllati o amministrati da soggetti italiani non fa più riferimento alla nozione di sede dell’amministrazione, ormai superato.