Chi controlla FATCA e CRS/DAC2 in Italia?

L’Agenzia delle Entrate controlla il rispetto degli obblighi di comunicazione FATCA e CRS/DAC2. Banca d’Italia e IVASS vigilano sull’assetto organizzativo, sui controlli interni e sui profili AML/KYC degli intermediari. Per il regime QI l’autorità competente è l’IRS statunitense.

Quali sanzioni possono derivare da errori nel reporting FATCA/CRS?

Errori o omissioni possono portare a richieste di invii sostitutivi, contestazioni formali e sanzioni amministrative fiscali. Carenze strutturali di processo o controllo possono inoltre sfociare in rilievi e misure da parte di Banca d’Italia o IVASS.

Quali sono i rischi in ambito QI/FATCA verso l’IRS?

In caso di non-conformità rilevante possono essere richieste remediation dettagliate; in situazioni gravi o persistenti, l’IRS può limitare o revocare i benefici del regime QI o trattare l’istituto come non compliant, con rischi di ritenute più elevate (ad esempio 30% su certi pagamenti di fonte USA).

Come si può ridurre il rischio di rilievi e sanzioni?

Elementi chiave sono ruoli e responsabilità chiari, controlli strutturati su TIN e GIIN, test dei file prima dell’invio, processi di correzione ben definiti e coerenza dei dati tra KYC, FATCA/CRS e QI, supportati da un robusto piano di formazione e da un audit trail dimostrabile.

Italia — Vigilanza & sanzioni (FATCA, CRS/DAC2 & QI)

Last updated: 18 Oct 2025

Italia — Vigilanza & sanzioni

Chi controlla cosa? Agenzia delle Entrate (FATCA/CRS/DAC2), Banca d’Italia e IVASS (organizzazione/AML), IRS (QI) – panoramica delle aree di ispezione, delle possibili misure e dei rilievi più frequenti, inclusi i rischi in caso di mancata conformità per istituti italiani.

1) Chi vigila su cosa?

Autorità/organismo	Focus principale	Esempi di aree di controllo
Agenzia delle Entrate	Comunicazioni FATCA & CRS/DAC2	Completezza e correttezza delle comunicazioni XML, coerenza dei TIN (es. US-TIN), uso delle GIIN, gestione di scarti/esiti, rispetto delle scadenze, allineamento con la normativa di recepimento.
Banca d’Italia / IVASS	Organizzazione, governance, AML/KYC	Processi KYC, ruoli e responsabilità, controlli interni, gestione del rischio di compliance, qualità dei dati, IT & sicurezza, gestione delle esternalizzazioni collegate a reporting FATCA/CRS.
IRS (USA)	Regime Qualified Intermediary (QI)	Documentazione W-8/W-9, concetto di reason-to-know, identificazione del beneficial owner, corretta applicazione della ritenuta (Chapter 3/4), reporting su Forms 1042/1042-S, Periodic Review e certificazioni.

2) Tipologie di interventi possibili

Agenzia delle Entrate Richieste di chiarimenti o integrazioni, contestazioni formali su omissioni/errori di comunicazione, eventuali sanzioni amministrative in materia di obblighi fiscali/informativi.
Banca d’Italia / IVASS Lettere di rilievo e raccomandazione, richieste di piani di rimedio, provvedimenti sanzionatori e misure correttive ai sensi della normativa di vigilanza (es. in ambito organizzativo/AML).
IRS (QI/FATCA) Richieste di remediation, interventi su processi di documentazione/withholding/reporting, possibili material failures con piani di rientro; nei casi estremi, rischi sulla qualifica QI o trattamenti più penalizzanti lato withholding.

3) Rilievi tipici (esempi)

Lacune TIN: TIN mancanti o formalmente errati senza un processo strutturato di follow-up, sollecito e aggiornamento.
GIIN non allineate: GIIN non più valide o incoerenti rispetto alle liste IRS, senza controlli di riconciliazione documentati.
Dati incoerenti tra KYC, reporting FATCA/CRS e documentazione QI (W-8/W-9, self-cert, status cliente).
Governance debole: responsabilità non chiaramente assegnate, assenza di four-eyes su file di reporting, canali di escalation poco definiti.
Errori tecnici: scarti ripetuti per errori di schema o di business rules, mancanza di test adeguati prima dell’invio, correzioni tardive.

4) Rischi sanzionatori (high-level)

Profilo fiscale/segnalativo nazionale: sanzioni amministrative per violazioni degli obblighi di comunicazione, richieste di invii sostitutivi, maggior rischio di controlli mirati.
Profilo di vigilanza prudenziale/AML: misure di vigilanza di Banca d’Italia/IVASS per carenze organizzative o di controllo, che possono includere prescrizioni operative, sanzioni e incremento della frequenza/ampiezza delle ispezioni.
Profilo US (QI/FATCA): rischio di trattamenti di ritenuta meno favorevoli (es. 30% su determinati pagamenti) in caso di percezione di non-compliance FATCA/QI, fino a possibili restrizioni o revoche del regime QI in presenza di violazioni gravi e continuative.

5) Prevenzione & remediation

Approccio preventivo

Piano di compliance annuale per FATCA/CRS/QI con scadenze, owner e milestone definite.
Documentazione della data lineage dal sistema sorgente al file XML, incluse regole di mapping.
Controlli strutturati su TIN & GIIN (liste di controllo, alert per scadenze/variazioni).
Programma di training periodico per front office, KYC, Tax Operations, IT/Data Management.

Gestione dei rilievi

Analisi root cause per ogni rilievo rilevante (tecnico, di processo, organizzativo).
Piano di intervento con responsabilità, tempistiche e indicatori di chiusura; monitoraggio degli avanzamenti.
Mantenimento di un audit trail (Issue → Azione correttiva → Re-test → Chiusura) dimostrabile verso autorità e revisori.
Allineamento fra KYC ↔ FATCA/CRS ↔ QI come parte della remediation, non solo correzione puntuale del file.

6) Pagine correlate

Hub Italia: Pagina principale Italia
Quadro normativo: Fonti & competenze
Meccanismi di segnalazione: Trasmissione & tecnica
QI-specifiche: Aspetti QI per l’Italia

Parla con noi Torna all’hub Italia

Avvertenza: La portata concreta delle sanzioni e delle misure di vigilanza dipende sempre dal singolo caso. Restano determinanti i testi aggiornati delle norme italiane, dei provvedimenti dell’Agenzia delle Entrate/Banca d’Italia/IVASS e – per QI/FATCA lato USA – le disposizioni e la prassi dell’IRS. Questa pagina ha finalità puramente informative e non sostituisce un’analisi legale o fiscale specifica.