Art. 40 bis T.U.IVA Definizioni

L'articolo 40-bis del Testo Unico IVA (DPR 633/1972), nella versione attualmente vigente dal 13 dicembre 2025 per effetto delle modifiche del D.Lgs. 04/12/2025 n. 186, è la norma definitoria che apre il Titolo IV-bis del TUIVA, dedicato agli obblighi anti-frode IVA in capo ai prestatori di servizi di pagamento. Si tratta di un blocco normativo recentissimo (introdotto nel 2023 dal D.Lgs. 153/2023 attuativo della direttiva UE 2020/284 e successivamente perfezionato) che ha rivoluzionato il rapporto tra il sistema dei pagamenti e l'amministrazione fiscale italiana ed europea, mettendo a disposizione del Fisco un patrimonio informativo enorme sulle operazioni di pagamento cross-border per il contrasto delle frodi IVA. L'art. 40-bis non disciplina direttamente obblighi sostanziali, ma ne fonda l'applicazione fornendo le definizioni tecniche essenziali, un'attività preparatoria di grande rilievo, specie in una materia che incrocia diritto bancario, diritto dei pagamenti e diritto tributario. Anche questo articolo è destinato alla soppressione dal 1° gennaio 2027 per effetto dell'art. 170 del D.Lgs. 19 gennaio 2026 n. 10, ma con presumibile continuità funzionale nel nuovo TUIVA.

Il quadro sistemico: il sistema CESOP e la lotta alle frodi IVA cross-border

Le definizioni dell'art. 40-bis si comprendono solo nel quadro del sistema europeo di lotta alla frode IVA cross-border, di cui rappresentano il fondamento concettuale. La direttiva UE 2020/284 ha introdotto in tutto lo Spazio Economico Europeo l'obbligo per i prestatori di servizi di pagamento di trasmettere alle amministrazioni fiscali nazionali le informazioni sui pagamenti transfrontalieri, ulteriormente trasferite al sistema centrale CESOP (Central Electronic System Of Payment information), gestito dalla Commissione Europea, che le aggrega e le mette a disposizione delle amministrazioni fiscali di tutti gli Stati membri per i controlli incrociati. Il sistema CESOP è entrato in vigore il 1° gennaio 2024 e rappresenta una delle più ambiziose iniziative anti-frode IVA mai adottate nell'UE. La logica è semplice: le frodi IVA cross-border (in particolare le frodi carosello e le frodi nell'e-commerce) si basano su flussi di pagamento internazionali tra venditori e acquirenti residenti in Stati diversi. Tracciando questi pagamenti tramite gli intermediari finanziari (banche, istituti di pagamento, IMEL), il Fisco può ricostruire la catena di operazioni e individuare anomalie tra dati dichiarati e flussi reali. Le definizioni dell'art. 40-bis identificano puntualmente chi sono i soggetti obbligati e quali sono le operazioni rilevanti.

La definizione di «prestatore di servizi di pagamento» (PSP)

La lettera a) del comma 1 definisce il prestatore di servizi di pagamento rinviando all'art. 1 c. 1 lett. g) del D.Lgs. 27/01/2010 n. 11, attuativo della direttiva 2007/64/CE (poi sostituita dalla 2015/2366 PSD2). I PSP comprendono diverse categorie:

• Banche e intermediari finanziari autorizzati a prestare servizi di pagamento ai sensi del TUB (D.Lgs. 385/1993): banche commerciali, casse di risparmio, banche di credito cooperativo, Poste Italiane S.p.A. nel settore Bancoposta;
• Istituti di pagamento autorizzati ai sensi del Titolo V-ter del TUB: soggetti specializzati nei servizi di pagamento (PayPal Europe, Klarna Bank, Revolut Payments, Stripe, e altri operatori del fintech);
• Istituti di moneta elettronica (IMEL): soggetti che emettono moneta elettronica ai sensi dell'art. 114-sexiesdecies del TUB e che, in tale ambito, prestano anche servizi di pagamento;
• Soggetti specifici esteri: PSP autorizzati in altri Stati UE che operano in Italia in regime di libera prestazione di servizi o libertà di stabilimento (es. fintech irlandesi, lussemburghesi, olandesi).

Sono esclusi dalla nozione di PSP, ai fini IVA:

• BCE e banche centrali nazionali (anche quando non agiscono in veste di autorità monetarie);
• Pubbliche amministrazioni statali, regionali o locali (anche se gestiscono servizi di pagamento, es. Tesorerie, sportelli amministrativi).

L'esclusione di BCE e PA è coerente con la finalità anti-frode IVA: queste entità non partecipano alle operazioni commerciali e non hanno bisogno di essere monitorate per finalità di gettito. La nozione si concentra invece sui PSP commerciali che intermediano effettivamente i pagamenti tra imprese e consumatori.

«Servizio di pagamento» e «operazione di pagamento»

La lettera b) definisce il servizio di pagamento rinviando all'art. 1 c. 2 lett. h-septies.1) numeri 3), 4), 5) e 6) del TUB. Si tratta di:

• Numero 3: esecuzione di operazioni di pagamento (es. bonifici, addebiti diretti, pagamenti con carta di pagamento);
• Numero 4: emissione di strumenti di pagamento e/o l'acquisizione di operazioni di pagamento (servizi merchant per accettazione carte);
• Numero 5: rimessa di denaro (money transfer, anche tramite operatori specializzati come Western Union, MoneyGram, Wise);
• Numero 6: servizi di disposizione di ordine di pagamento e di informazione sui conti (servizi PSD2 «open banking»).

Sono esclusi servizi non commercialmente rilevanti: emissione di assegni, gestione esclusivamente di contante in moneta elettronica «chiusa» (es. carte regalo nominative spendibili solo presso un emittente), operazioni interne di gruppi finanziari. La lettera c) definisce l'operazione di pagamento come l'attività di versare, trasferire o prelevare fondi posta in essere dal pagatore o dal beneficiario, indipendentemente da obblighi sottostanti tra di essi. La definizione è ampia e neutrale: non importa se il pagamento sia il corrispettivo di una vendita, di un servizio, di un prestito, di una donazione, di una rimessa familiare. Quel che conta è il movimento dei fondi attraverso un PSP. Sono esplicitamente comprese anche le rimesse di denaro, categoria importante per il money transfer dalle comunità di lavoratori stranieri verso i propri Paesi di origine, che storicamente è stato un canale parzialmente opaco e oggi è inquadrato nel monitoraggio CESOP.

I soggetti dell'operazione: pagatore e beneficiario

Le lettere d) ed e) definiscono i due soggetti dell'operazione di pagamento: Pagatore (lett. d): il soggetto titolare di un conto di pagamento a valere sul quale viene impartito un ordine di pagamento ovvero, in mancanza di un conto, il soggetto che impartisce direttamente l'ordine. La nozione comprende il consumatore che paga con bonifico online, il commerciante che dà il dispositivo POS al cliente, l'imprenditore che effettua un pagamento internazionale di un fornitore. Beneficiario (lett. e): il soggetto destinatario dei fondi oggetto dell'operazione di pagamento. Per le finalità del CESOP, il beneficiario è il soggetto su cui si concentra l'attenzione del controllo: identificare i beneficiari dei pagamenti transfrontalieri consente al Fisco di verificare se essi dichiarano correttamente i corrispettivi alle proprie autorità fiscali e se versano l'IVA dovuta nel Paese di destinazione.

Stato membro di origine e Stato membro ospitante

Le lettere f) e g) introducono due nozioni mutuate dal diritto bancario europeo: Stato membro di origine (lett. f): lo Stato UE in cui il PSP ha la sede statutaria e/o l'amministrazione centrale, ai sensi dell'art. 1 c. 1 lett. g-bis) del TUB. È lo Stato che ha rilasciato l'autorizzazione bancaria/di pagamento e che vigila sull'attività complessiva del PSP. Stato membro ospitante (lett. g): lo Stato UE diverso da quello di origine in cui il PSP esercita attività in regime di libera prestazione di servizi (senza sede locale) o di libertà di stabilimento (con sede secondaria/succursale), ai sensi dell'art. 1 c. 1 lett. g-ter) del TUB. La distinzione è fondamentale per gli artt. 40-ter e 40-quater: gli obblighi di conservazione e comunicazione si applicano ai PSP per i quali l'Italia è Stato membro di origine (PSP italiani) e, per quanto riguarda l'attività svolta in Italia, anche ai PSP per i quali l'Italia è Stato membro ospitante (PSP esteri operanti in Italia in libera prestazione o libertà di stabilimento).

Conto di pagamento e identificatori tecnici (IBAN, BIC)

Le lettere h), i) e l) introducono nozioni di tipo tecnico-bancario: Conto di pagamento (lett. h): conto detenuto da un PSP a nome di uno o più utenti, utilizzato per l'esecuzione di operazioni di pagamento. Comprende conti correnti bancari, conti di pagamento offerti da istituti di pagamento, conti di moneta elettronica. IBAN (lett. i, International Bank Account Number): identificatore unico internazionale del conto di pagamento, definito dal Regolamento UE 260/2012 (regolamento SEPA). Per i conti italiani consiste in 27 caratteri alfanumerici (IT + 2 cifre check + 1 lettera CIN + 5 cifre ABI + 5 cifre CAB + 12 caratteri numero conto). BIC (lett. l, Bank Identifier Code, anche detto «codice SWIFT»): identificatore unico internazionale del PSP, definito dal medesimo Regolamento SEPA. Composto da 8 o 11 caratteri alfanumerici (4 lettere banca, 2 lettere paese, 2 caratteri location, opzionali 3 caratteri branch). Questi identificatori tecnici sono essenziali per il funzionamento del CESOP: ogni operazione di pagamento transfrontaliera viene tracciata da un PSP attraverso BIC e IBAN delle parti, e queste informazioni alimentano il database europeo per i controlli automatizzati.

L'evoluzione 2010-2025: dalle definizioni della PSD1 all'integrazione PSD2-CESOP

L'art. 40-bis ha conosciuto diverse formulazioni nel tempo, riflettendo l'evoluzione della normativa europea sui pagamenti:

• Versione originaria 2023 (D.Lgs. 153/2023): definizioni essenziali per i nuovi obblighi PSP-CESOP, con riferimento a PSD1 e PSD2;
• Versione 2025 (D.Lgs. 186/2025): aggiornamento delle definizioni in coordinamento con il pacchetto pagamenti UE 2024-2025 (proposte PSD3 e PSR), con maggiore precisione sui soggetti esclusi (BCE, banche centrali, PA) e sull'inclusione degli IMEL.

L'abrogazione 2027: continuità nel nuovo TUIVA

L'art. 170 del D.Lgs. 19 gennaio 2026 n. 10 sopprime l'art. 40-bis dal 1° gennaio 2027. Tuttavia, le definizioni del Titolo IV-bis sono imposte dalla direttiva UE 2020/284 (CESOP) e sono parte di un sistema sovranazionale che non può essere abolito unilateralmente dall'Italia. Il nuovo TUIVA conterrà presumibilmente un articolo equivalente con le stesse definizioni, eventualmente integrate dagli aggiornamenti del pacchetto pagamenti UE 2024-2025 (PSD3, regolamento sui pagamenti istantanei, regolamento sulla moneta digitale dell'euro). Per gli operatori del settore (PSP, banche, fintech), la continuità è garantita dall'integrazione europea: le definizioni e le procedure tecniche restano armonizzate in tutto lo SEE.

Indicazioni operative per il commercialista che assiste banche e fintech

• Per i clienti PSP: verificare l'inquadramento corretto nelle categorie definite dall'art. 40-bis e gli obblighi conseguenti negli artt. 40-ter e 40-quater;
• Per i clienti che gestiscono conti di pagamento per conto di clienti professionali: verificare le procedure di estrazione delle informazioni per la trasmissione CESOP;
• Per i clienti commerciali con flussi cross-border: valorizzare la tracciatura CESOP nelle proprie procedure di compliance fiscale, evitando discrepanze tra dichiarato e flussi monetari;
• Monitorare le evoluzioni del pacchetto pagamenti UE 2024-2025: PSD3 e PSR comporteranno aggiornamenti delle definizioni anche nel nuovo TUIVA post-2027.

Riferimenti normativi

Norma vigente fino al 31/12/2026: art. 40-bis DPR 633/1972 (TUIVA), nel testo modificato dall'art. 11 D.Lgs. 04/12/2025 n. 186, in vigore dal 13 dicembre 2025. Norma di abrogazione: art. 170 D.Lgs. 19 gennaio 2026 n. 10, attuativo della delega L. 111/2023, con effetto dal 1° gennaio 2027. Quadro UE: direttiva 2020/284/UE (CESOP); regolamento UE 904/2010 art. 24-ter (cooperazione amministrativa pagamenti); direttiva 2015/2366 (PSD2); regolamento UE 260/2012 (SEPA, IBAN, BIC); pacchetto pagamenti UE 2024-2025 (proposte PSD3 e PSR). Norme nazionali correlate: D.Lgs. 27/01/2010 n. 11 (attuazione PSD1); D.Lgs. 385/1993 TUB artt. 1, 114-sexiesdecies; D.Lgs. 153/2023 (CESOP italiano).