Art. 40 sexies T.U.IVA: Dati da conservare

Commento

L'articolo 40-sexies del Testo Unico IVA (DPR 633/1972), introdotto dall'art. 1 del D.Lgs. 18 ottobre 2023 n. 153 in attuazione della direttiva UE 2020/284 e in vigore dal 18 novembre 2023, è la norma di chiusura del Titolo IV-bis del TUIVA dedicato agli obblighi anti-frode IVA dei prestatori di servizi di pagamento. Mentre l'art. 40-ter individua il principio dell'obbligo di conservazione, l'art. 40-quater regola la trasmissione e l'art. 40-quinquies stabilisce i criteri di localizzazione, l'art. 40-sexies elenca puntualmente quali informazioni devono essere raccolte, archiviate e successivamente trasmesse al sistema CESOP. È la norma più tecnica e operativamente densa del Titolo IV-bis: definisce il «contenuto informativo» del sistema CESOP italiano, determinando in modo dettagliato cosa entra nel patrimonio informativo a disposizione del Fisco italiano e degli altri Stati membri UE. Anche questo articolo è destinato alla soppressione dal 1° gennaio 2027 per effetto dell'art. 170 del D.Lgs. 19 gennaio 2026 n. 10, ma con presumibile continuità funzionale nel nuovo TUIVA, perché la lista dei dati è imposta dalla direttiva UE 2020/284 (allegato VI).

Lo scopo della norma: dare contenuto al concetto di «documentazione» dell'art. 40-ter

L'art. 40-ter impone ai PSP di conservare la «documentazione che riporta le informazioni di cui all'articolo 40-sexies dei beneficiari e dei pagamenti», cioè rinvia espressamente all'art. 40-sexies per il contenuto specifico dell'obbligo. Senza l'art. 40-sexies, l'art. 40-ter sarebbe una norma in bianco, priva di concretezza applicativa. Insieme, le due norme costruiscono un sistema completo: l'art. 40-ter dice chi conserva e quando, l'art. 40-sexies dice cosa conserva.

L'elenco dell'art. 40-sexies è strutturato in due livelli: il comma 1 individua otto categorie principali di informazioni (lett. a-h); il comma 2 dettaglia i sub-dati specifici delle categorie più articolate, in particolare lett. g) e h) relative ai pagamenti e ai rimborsi.

Le otto categorie del comma 1: una mappa informativa del pagamento

Lett. a) BIC o altro codice identificativo del PSP. Il PSP che conserva i dati registra anzitutto il proprio identificativo (BIC, codice univoco bancario o equivalente). Questa informazione è essenziale per l'AdE e per il sistema CESOP per identificare il PSP responsabile della trasmissione, per coordinare eventuali approfondimenti istruttori, e per verificare la copertura completa del mercato dei pagamenti.

Lett. b) nome o denominazione commerciale del beneficiario. Si tratta del nome del soggetto destinatario dei fondi come risulta dalla documentazione del PSP. La specifica «che figura nella documentazione del prestatore di servizi di pagamento» è importante: il PSP non ha l'obbligo di verificare l'identità reale del beneficiario, ma solo di registrare il nome quale risulta dai propri archivi. Eventuali falsità nei dati identificativi del beneficiario non sono responsabilità del PSP, salvo che esistano indicatori di anomalia evidenti.

Lett. c) numero di identificazione IVA o altro codice fiscale del beneficiario, se disponibile. Il dato è opzionale: il PSP lo registra solo se è disponibile nei propri sistemi (tipicamente per beneficiari business B2B il PSP raccoglie partita IVA o codice fiscale; per beneficiari consumer questi dati spesso mancano). La presenza di questo dato è cruciale per l'efficacia dei controlli incrociati: l'AdE confronta il numero IVA registrato dal PSP con quelli dichiarati dal contribuente nelle proprie dichiarazioni IVA, evidenziando discrepanze.

Lett. d) IBAN del conto del beneficiario o, in mancanza, altro identificativo univoco. L'IBAN è l'identificativo principale: tracciando IBAN su cui arrivano i fondi, il PSP determina la localizzazione del beneficiario (ai sensi dell'art. 40-quinquies) e fornisce un riferimento granulare per i controlli. In assenza di IBAN (es. money transfer, pagamenti via wallet senza IBAN), si registra qualunque altro identificativo univoco disponibile (codice cliente del PSP, ID transazione del sistema di pagamento alternativo).

Lett. e) BIC del PSP che agisce per conto del beneficiario, quando il beneficiario non ha un conto di pagamento. Questa lettera copre i casi residuali in cui il beneficiario riceve fondi senza disporre di un proprio conto: tipicamente le rimesse di denaro ricevute in contanti agli sportelli di money transfer. Si registra il BIC dell'agente che ha erogato i fondi al beneficiario, da cui si ricava la localizzazione.

Lett. f) indirizzo del beneficiario, se disponibile. Anche questo dato è opzionale, raccolto se figura nelle anagrafiche del PSP. Per beneficiari business l'indirizzo è generalmente disponibile (sede legale o operativa); per consumer è meno frequente. L'indirizzo migliora la qualità dell'identificazione e facilita le verifiche incrociate.

Lett. g) dettagli dei pagamenti transfrontalieri ex art. 40-ter. Si tratta dei dati relativi a ogni singola operazione di pagamento transfrontaliera registrata, con i sub-dati specificati dal comma 2.

Lett. h) dettagli dei rimborsi di pagamenti relativi ai pagamenti transfrontalieri. I rimborsi (storni di pagamenti, restituzioni per resi, chargeback per controversie) sono tracciati separatamente per consentire la riconciliazione corretta dei flussi: senza i rimborsi, l'analisi anti-frode rischierebbe di leggere come «pagamento effettivo» qualcosa che è stato successivamente annullato.

I cinque sub-dati per pagamenti e rimborsi: comma 2

Il comma 2 dettaglia il contenuto delle lettere g) e h) del comma 1, identificando cinque sub-dati che caratterizzano ogni pagamento o rimborso registrato:

Lett. a) data e ora del pagamento o del rimborso. La precisione temporale è importante per la cronologia delle operazioni e per l'analisi dei pattern (es. pagamenti notturni, weekend, festivi possono essere indicatori di anomalia). L'ora è registrata in formato standard UTC.

Lett. b) importo e valuta. L'importo è registrato nella valuta originale dell'operazione. Per i pagamenti in valuta diversa dall'euro (USD, GBP, JPY, CHF, ecc.), il sistema CESOP applica conversioni standardizzate per le analisi aggregate. La presenza dei dati nella valuta originale è importante per riconoscere transazioni che a posteriori vengano artatamente convertite o ridenominate.

Lett. c) Stato membro di origine del pagamento o di destinazione del rimborso, e informazioni utilizzate per determinarlo. Si registra non solo il risultato (Stato membro di origine/destinazione) ma anche i dati che hanno portato alla classificazione (IBAN dichiarato, BIC del PSP, eventuali altri elementi). Questo consente all'AdE e al CESOP di verificare la correttezza della classificazione e di rilevare incoerenze.

Lett. d) riferimento univoco identificativo del pagamento. Ogni pagamento ha un identificativo unico nel sistema del PSP (transaction ID), che permette di richiamare l'operazione in eventuali approfondimenti istruttori. Il riferimento univoco è anche essenziale per la riconciliazione delle eventuali rettifiche successive.

Lett. e) indicazione se il pagamento è disposto nei locali dell'esercente. Questo è un dato peculiare e molto specifico: distingue i pagamenti effettuati in punto vendita fisico (POS dell'esercente) da quelli online o remoti. La distinzione è rilevante per le frodi nell'e-commerce (i pagamenti online sono il canale più esposto a frodi internazionali) e per le analisi macroeconomiche dei flussi di consumo. Tipicamente il PSP riconosce automaticamente la natura del pagamento (presence of card al POS = pagamento in punto vendita; CNP, Card Not Present, = pagamento online).

L'integrazione nei sistemi PSP

L'implementazione dell'art. 40-sexies ha richiesto ai PSP italiani sforzi di integrazione informatica significativi. I principali aspetti operativi:

• Mappatura dei dati: i sistemi gestionali bancari devono mappare i campi interni con le specifiche dell'art. 40-sexies, talvolta con necessità di arricchire dati che storicamente erano archiviati in modo frammentario;
• Filtri e classificazioni: applicare i criteri di localizzazione (art. 40-quinquies), identificare i pagamenti transfrontalieri, applicare la soglia dei 25 per beneficiario;
• Estrazione strutturata: produrre tracciati XML conformi alle specifiche CESOP UE e AdE per la trasmissione trimestrale ex art. 40-quater;
• Conservazione triennale: archiviare i dati strutturati per 3 anni civili dalla fine dell'anno del pagamento, garantendo accessibilità e immutabilità;
• Privacy e sicurezza: il trattamento di questi dati deve rispettare il GDPR; il PSP è titolare del trattamento e deve fornire informativa ai propri clienti, nonché garantire misure di sicurezza adeguate (crittografia, access control, log di audit).

Il rapporto con il GDPR

Il trattamento dei dati ex art. 40-sexies da parte dei PSP solleva questioni di privacy non banali: si tratta di dati personali (identificativi del beneficiario, in alcuni casi del pagatore) trattati per finalità tributarie. La base giuridica del trattamento è l'art. 6 lett. c) GDPR (obbligo legale): il PSP non può rifiutare il trattamento perché è imposto dalla legge. Tuttavia restano applicabili tutti i diritti GDPR (informazione, accesso, cancellazione decorso il termine di conservazione, opposizione per finalità diverse). I PSP italiani devono fornire informativa privacy specifica per il trattamento CESOP, integrata nelle informative bancarie generali.

L'utilizzo dei dati per i controlli AdE

Una volta nei database CESOP/AdE, i dati dell'art. 40-sexies sono utilizzati per:

• Controlli incrociati con la fatturazione elettronica: confronto fra pagamenti ricevuti da beneficiari italiani e fatture elettroniche emesse, per identificare incoerenze (es. pagamenti senza fattura corrispondente o viceversa);
• Profilo di rischio dei contribuenti: aggregazione dei dati per beneficiario per costruire un profilo di attività che alimenta i sistemi di selezione automatica per i controlli;
• Indagini transfrontaliere: scambio di informazioni con le altre amministrazioni fiscali UE attraverso Eurofisc per indagini su frodi internazionali;
• Monitoraggio macroeconomico: analisi aggregate dei flussi commerciali transfrontalieri per finalità di policy (statistiche di interscambio, monitoraggio di settori specifici).

L'abrogazione 2027 e la continuità

L'art. 170 del D.Lgs. 19 gennaio 2026 n. 10 sopprime l'art. 40-sexies dal 1° gennaio 2027. Tuttavia, la lista dei dati è imposta dall'allegato VI della direttiva UE 2020/284 e non può essere abolita unilateralmente. Il nuovo TUIVA conterrà presumibilmente un articolo equivalente con la stessa lista di dati, eventualmente integrata con nuovi campi previsti dall'evoluzione del pacchetto pagamenti UE 2024-2026 (es. campi specifici per pagamenti istantanei, pagamenti in moneta digitale dell'euro, pagamenti via crypto-asset).

Indicazioni operative per il commercialista

• Per i clienti PSP: verificare che le procedure di estrazione coprano tutti i 15+ campi richiesti dall'art. 40-sexies; i provider di soluzioni CESOP-as-a-service offrono integrazioni standard ai principali gestionali bancari;
• Per i clienti commerciali: la presenza di partita IVA correttamente registrata presso il PSP è cruciale per evitare segnalazioni anomale; verificare l'aggiornamento delle anagrafiche presso le proprie banche;
• Per i clienti consumer: l'inclusione del proprio nome e indirizzo nelle informazioni CESOP è automatica e non richiede azioni; i clienti hanno diritto di richiedere accesso ai propri dati ex GDPR, ma non possono rifiutarne il trattamento;
• Per consulenze di pianificazione fiscale: il livello di dettaglio dei dati CESOP rende oggi tracciabile l'intera catena dei pagamenti internazionali; pianificazioni che si basano sull'opacità informativa sono ad alto rischio.

Riferimenti normativi

Norma vigente fino al 31/12/2026: art. 40-sexies DPR 633/1972 (TUIVA), introdotto dall'art. 1 D.Lgs. 18/10/2023 n. 153, in vigore dal 18 novembre 2023. Norma di abrogazione: art. 170 D.Lgs. 19 gennaio 2026 n. 10, attuativo della delega L. 111/2023, con effetto dal 1° gennaio 2027. Quadro UE: direttiva UE 2020/284 allegato VI (lista dei dati); regolamento UE 904/2010 art. 24-ter come modificato dal Reg. UE 2020/283. Norme correlate: artt. 40-bis, 40-ter, 40-quater, 40-quinquies TUIVA (Titolo IV-bis); regolamento UE 2016/679 GDPR (privacy); D.Lgs. 153/2023 art. 2 (sanzioni); regolamento UE 260/2012 (SEPA, IBAN, BIC).