Introduzione

In Italia l’accertamento fiscale rappresenta una fase particolarmente delicata per qualsiasi impresa; per una pen test company – ossia una società che opera nei test di penetrazione e nei servizi di cybersecurity – la complessità aumenta perché la propria attività è legata a prestazioni intellettuali, vendita di software e infrastrutture digitali, spesso con clienti esteri o con contratti misti (licenze, cloud, manutenzione). L’Agenzia delle Entrate o la Guardia di Finanza possono contestare ricavi non dichiarati, qualificare come cessione di beni servizi ritenuti gratuiti, disconoscere costi per mancanza di inerenza o per ritenuto abuso delle norme, imputare indebite detrazioni IVA, utilizzare presunzioni per ricostruire il volume d’affari. La posta in gioco è altissima: gli avvisi di accertamento per IRES, IRPEF, IRAP e IVA hanno ormai natura esecutiva e possono condurre a pignoramenti, ipoteche e blocco dei conti già dopo la scadenza del termine per il ricorso . La riforma del sistema di riscossione (D.Lgs. 110/2024) ha trasformato l’avviso di accertamento in un titolo immediatamente esecutivo: passato il termine di 60 giorni per impugnare l’atto, il debito è affidato all’agente della riscossione e può essere riscosso senza più emettere la cartella . La stessa riforma prevede la sospensione dell’esecuzione per 180 giorni, ma consente azioni cautelari e conservative e, soprattutto, prevede che la riscossione possa partire prima dei sessanta giorni in presenza di «fondato pericolo» .

Per questo motivo è fondamentale non sottovalutare alcuna comunicazione, neppure un avviso bonario o una richiesta di chiarimenti. Gli errori più frequenti consistono nel trascurare le notifiche via PEC (Posta Elettronica Certificata) o domicilio digitale, nel non reagire alle difformità riscontrate in fase di indagine, nel confondere avviso bonario con avviso di accertamento esecutivo, nel presentare ricorsi tardivi oppure infondati. La riforma del 2023-2025 dello Statuto del contribuente (Legge 212/2000) ha introdotto il principio del contraddittorio preventivo obbligatorio: l’Amministrazione deve comunicare lo schema di atto al contribuente, assegnando almeno 60 giorni per controdedurre e accedere agli atti, salvo gli atti automatizzati e i casi di pericolo per la riscossione . Se il contraddittorio non viene attivato o l’atto non reca le motivazioni rispetto alle osservazioni del contribuente, l’avviso è annullabile . Inoltre, con il domicilio digitale introdotto dall’articolo 60‑ter del DPR 600/73 (modificato dal D.Lgs. 13/2024), tutte le notifiche fiscali possono essere effettuate direttamente agli indirizzi presenti negli indici pubblici (INI‑PEC, INAD, IPA) e, se la casella è satura, l’atto viene depositato sul portale InfoCamere con un avviso . La gestione del proprio domicilio digitale è diventata, quindi, essenziale per evitare perfezionamenti di notifiche senza che l’azienda ne abbia conoscenza.

Nella presente guida legale, aggiornata a marzo 2026, illustreremo cosa deve fare una pen test company in caso di accertamento, quali strumenti di difesa esistono, quali normative regolano la procedura e come pianificare strategie efficaci per evitare o ridurre la riscossione. Il taglio sarà giuridico-divulgativo, ma orientato alla pratica: verranno analizzate le leggi (D.P.R., D.Lgs., Leggi, Decreti Legge), le circolari dell’Agenzia delle Entrate e le sentenze della Corte di cassazione e della Corte costituzionale. Ogni sezione fornirà consigli operativi e un punto di vista del contribuente, con l’obiettivo di mettere il lettore in condizione di comprendere diritti, doveri e opportunità.

Al centro di questo percorso vi è l’Avv. Giuseppe Angelo Monardo, cassazionista e coordinatore di un gruppo di avvocati e commercialisti con consolidata esperienza nazionale nel diritto bancario e tributario. Il suo studio offre consulenza su accertamenti fiscali, contenzioso tributario, sovraindebitamento e ristrutturazione dei debiti. L’avv. Monardo è Gestore della crisi da sovraindebitamento ai sensi della Legge 3/2012, iscritto negli elenchi del Ministero della Giustizia; è professionista fiduciario di un Organismo di Composizione della Crisi (OCC) e Esperto negoziatore della crisi d’impresa ex D.L. 118/2021. Lo staff multidisciplinare dello studio è in grado di analizzare l’atto di accertamento, individuare vizi di forma, presentare ricorsi e istanze di sospensione, aprire trattative con l’Amministrazione per definizioni agevolate o piani di rientro, predisporre proposte di piano del consumatore o accordi di ristrutturazione e, se necessario, assistere il cliente nella composizione giudiziale della crisi. La presente guida non sostituisce la consulenza professionale, ma dimostra come una difesa tempestiva e ben strutturata possa ridurre in modo significativo i rischi di sanzioni, interessi e procedure esecutive.

📩 Contatta subito l’Avv. Giuseppe Angelo Monardo per una valutazione legale personalizzata e immediata.

Contesto normativo e giurisprudenziale

1. Normative di riferimento

1.1 Valutazione del reddito d’impresa e metodologie presuntive

La disciplina dell’accertamento per l’imposta sui redditi delle società di capitali è contenuta nel D.P.R. 29 settembre 1973 n. 600. L’art. 39 consente all’ufficio di correggere le dichiarazioni quando elementi della contabilità non concordano con i dati forniti o risultano omessi; inoltre, quando il contribuente non presenta la dichiarazione o i registri sono inattendibili, l’Ufficio può determinare il reddito sulla base dei dati disponibili, avvalendosi anche di presunzioni gravi, precise e concordanti . Ciò significa che, per una pen test company, le banche dati dell’Agenzia delle Entrate, i bonifici ricevuti, le fatture elettroniche o i movimenti su marketplace digitali possono costituire base per presumere ricavi non dichiarati se l’impresa non è in grado di giustificare le entrate. Inoltre, il comma terzo dell’art. 39 stabilisce che la contabilità priva di affidabilità autorizza un accertamento induttivo basato anche su semplici presunzioni ; perciò è essenziale tenere un sistema di contabilità ordinata e conservare i documenti relativi a licenze software, contratti di manutenzione, abbonamenti, cessioni di codice e consulenze.

1.2 Contenuto dell’avviso di accertamento e natura esecutiva

L’art. 42 del DPR 600/73 stabilisce che l’avviso di accertamento deve essere notificato con atto firmato dal dirigente o da un delegato, contenere l’imponibile accertato, l’aliquota applicata e la motivazione in fatto e in diritto. Inoltre, l’atto deve essere corredato dai processi verbali o dagli atti richiamati, pena la nullità. Il contribuente può chiedere che siano computate le perdite di esercizi precedenti per ridurre l’imponibile; in tal caso l’Ufficio deve rideterminare l’imposta entro sessanta giorni e il termine per il ricorso rimane sospeso. Con la riforma introdotta dal D.Lgs. 110/2024 il medesimo avviso acquista natura impositiva ed esecutiva: deve contenere anche l’intimazione ad adempiere entro il termine per presentare ricorso e avvertire che, trascorsi trenta giorni dal termine ultimo di pagamento, la riscossione verrà affidata agli agenti della riscossione senza ulteriori formalità . L’esecuzione forzata è sospesa per 180 giorni dall’affidamento, ma restano attivabili le misure cautelari (come l’iscrizione di ipoteca o fermo amministrativo) . In presenza di pericolo per il recupero (es. rischio di trasferimento di asset digitali o licenze all’estero) l’affidamento può avvenire già sessanta giorni dopo la notifica . Pertanto, una pen test company deve attivarsi immediatamente dopo la notifica per evitare di subire azioni esecutive mentre ancora valuta se proporre un ricorso.

1.3 Statuto del contribuente: diritti durante la verifica

Lo Statuto dei diritti del contribuente (Legge 212/2000) tutela i contribuenti durante accessi, ispezioni e verifiche. L’art. 12 prevede che i controlli nei locali destinati all’esercizio di imprese o professioni devono essere eseguiti in modo da recare la minore turbativa possibile e durante l’orario ordinario; il contribuente ha diritto a essere informato sullo scopo della verifica e può farsi assistere da un professionista . L’ispezione, salvo casi eccezionali, non può superare trenta giorni lavorativi, prorogabili di ulteriori trenta in casi di particolare complessità . Il contribuente può chiedere che l’esame dei documenti avvenga presso l’ufficio dell’Amministrazione o presso lo studio del proprio consulente e può presentare memorie e osservazioni. Fino al 2023 l’art. 12 co. 7 concedeva 60 giorni per osservazioni prima dell’emissione dell’avviso; tale disposizione è stata abrogata dal D.Lgs. 219/2023 ma sostituita dal nuovo art. 6‑bis .

1.4 Contraddittorio preventivo obbligatorio (art. 6‑bis)

Il D.Lgs. 219/2023 ha introdotto nell’art. 6‑bis dello Statuto il principio del contraddittorio. La norma stabilisce che tutti gli atti autonomamente impugnabili innanzi alle Corti di giustizia tributaria (nuova denominazione delle Commissioni tributarie) sono preceduti, a pena di annullabilità, da un contraddittorio informato ed effettivo . Questo significa che l’Agenzia deve inviare al contribuente uno schema di atto (c.d. invito al contraddittorio), assegnando un termine non inferiore a sessanta giorni per presentare controdeduzioni e accedere agli atti . Se la scadenza di questo termine cade vicino al termine di decadenza per l’accertamento, quest’ultimo è prorogato di 120 giorni . Il contraddittorio non si applica agli atti automatizzati o di controllo formale, né nei casi in cui vi sia fondato pericolo per la riscossione . L’atto definitivo deve motivare espressamente le osservazioni del contribuente; se l’Amministrazione non prende posizione, l’avviso può essere annullato per difetto di motivazione. Per una pen test company il contraddittorio è fondamentale per spiegare la struttura dei propri contratti (ad esempio l’esistenza di servizi gratuiti propedeutici alla vendita di licenze, o di sconti per progetti open source) e per impedire che l’Ufficio utilizzi presunzioni errate.

1.5 Notificazioni al domicilio digitale (art. 60‑ter)

Con il D.Lgs. 13/2024 è stato introdotto l’art. 60‑ter del DPR 600/73, che regola le notificazioni e comunicazioni al domicilio digitale. La norma prevede che tutti gli atti, avvisi e comunicazioni possano essere inviati mediante posta elettronica certificata (PEC) o servizi di recapito certificato qualificato ai domicili digitali risultanti dagli indici pubblici (INI‑PEC per imprese e professionisti, IPA per pubbliche amministrazioni, INAD per privati). Per le imprese costituite in forma societaria e i professionisti, l’ufficio utilizza l’indirizzo presente nell’Indice nazionale dei domicili digitali delle imprese e dei professionisti (INI‑PEC), anche se l’individuo ha un diverso indirizzo nell’Indice nazionale delle persone fisiche . Se la casella è satura o non attiva, l’Ufficio effettua un secondo invio dopo sette giorni; se ancora non consegnato, procede con il deposito telematico dell’atto nell’area riservata di InfoCamere e pubblica un avviso sul sito per quindici giorni . In questo caso, l’atto si considera notificato il quindicesimo giorno successivo alla pubblicazione . I soggetti titolari di domicilio digitale possono eleggere un domicilio speciale per le notificazioni fiscali e comunicarlo all’Agenzia delle Entrate; la gestione, l’aggiornamento e la revoca di tali indirizzi sono disciplinate da provvedimenti del direttore dell’Agenzia . Per le società di penetration testing è indispensabile monitorare quotidianamente la PEC aziendale e l’eventuale area di depositi digitali per evitare perfezionamenti della notifica a loro insaputa.

1.6 Riforma delle sanzioni (D.Lgs. 87/2024)

Il D.Lgs. 87/2024, in vigore dal 1° settembre 2024, riforma il sistema delle sanzioni amministrative tributarie. La sanzione per omessa dichiarazione passa al 120 % del tributo dovuto con un minimo di 250 €, ma sono previste attenuazioni per ritardi lievi e per il ravvedimento operoso . La disciplina del cumulo giuridico viene modificata: in presenza di più violazioni, si applica la sanzione per l’infrazione più grave aumentata da un quarto al doppio, a seconda del numero delle violazioni . Per i professionisti che concorrono nelle violazioni, la sanzione non è più fissa ma proporzionale al vantaggio ottenuto. Il decreto valorizza inoltre l’adesione spontanea e il ravvedimento operoso, stabilendo che il pagamento del tributo e delle sanzioni ridotte estingue l’obbligazione e preclude l’irrogazione di ulteriori sanzioni . Nel contesto delle pen test company, le sanzioni possono derivare da errata qualificazione dei ricavi (per esempio, quando test gratuiti sono considerati occultamento di compensi), da indebite compensazioni di crediti fiscali o da detrazioni IVA inesistenti. Con la nuova disciplina, è ancora più importante valutare tempestivamente l’eventuale ravvedimento per ridurre le sanzioni.

1.7 Riforma della riscossione (D.Lgs. 110/2024)

Il decreto legislativo 29 luglio 2024 n. 110, in attuazione della delega fiscale, riordina il sistema nazionale della riscossione. Per quanto riguarda gli avvisi di accertamento, esso prevede che:

1. Intimazione di pagamento: l’avviso di accertamento emesso per imposte sui redditi, IRAP e IVA deve contenere anche l’intimazione ad adempiere entro il termine per il ricorso e avvertire che, decorsi trenta giorni dal termine di pagamento, le somme saranno affidate agli agenti della riscossione .
2. Esecutività senza cartella: gli avvisi divengono esecutivi dopo la scadenza del termine per il ricorso, senza necessità di iscrizione a ruolo; l’agente della riscossione procede all’esecuzione forzata senza previa cartella .
3. Sospensione di 180 giorni: l’esecuzione forzata è sospesa per 180 giorni dall’affidamento salvo che si tratti di accertamenti definitivi o che vi sia pericolo per la riscossione .
4. Affidamento anticipato: se sussiste pericolo per il recupero, la riscossione può essere affidata dopo sessanta giorni dalla notifica, senza attendere il termine ordinario .

Queste novità hanno un impatto enorme: la società non riceve più la cartella di pagamento tradizionale ma viene raggiunta, dopo 60 giorni, direttamente da procedure esecutive (es. pignoramento del conto corrente o del credito d’imposta). Pertanto, il contributore deve essere pronto a reagire immediatamente.

1.8 Rottamazione e definizioni agevolate: limiti per gli avvisi

La Legge di bilancio 2026 (L. 199/2025) ha introdotto la rottamazione-quinquies, una definizione agevolata che permette di pagare i carichi affidati all’agente della riscossione senza interessi e sanzioni. Tuttavia, la normativa stabilisce che la rottamazione può riguardare solo i carichi relativi a controlli automatizzati (artt. 36‑bis e 36‑ter del DPR 600/73 e art. 54‑bis del DPR 633/72) e le cartelle esattoriali già iscritte, mentre non sono definibili i debiti derivanti da avvisi di accertamento esecutivi . Le FAQ dell’Agenzia delle Entrate-Riscossione chiariscono che un contribuente destinatario di un avviso di accertamento non può aderire alla rottamazione per tale atto ; potrà eventualmente rottamare soltanto le somme iscritte a ruolo a seguito di contenzioso (un terzo dell’imposta dopo la sentenza di primo grado e i due terzi dopo la sentenza di secondo grado). Chi gestisce una pen test company deve essere consapevole che l’unico strumento agevolativo sugli avvisi esecutivi resta l’adesione o l’acquiescenza (art. 15, D.Lgs. 218/1997) e, dopo la loro eventuale iscrizione, la rottamazione potrà riguardare solo le somme parzialmente iscritte.

1.9 Procedure di sovraindebitamento e Codice della Crisi

Per le società non fallibili o per i professionisti che operano come ditte individuali, la Legge 3/2012 (novellata dal Codice della Crisi d’Impresa e dell’Insolvenza – D.Lgs. 14/2019) offre strumenti per gestire e risolvere il sovraindebitamento. Le procedure più rilevanti sono:

1. Piano di ristrutturazione dei debiti del consumatore (ex piano del consumatore), riservato alle persone fisiche che non svolgono attività imprenditoriale o che esercitano attività professionale senza superare i limiti per la fallibilità; consente di proporre un piano di pagamento dei debiti, anche fiscali, in base al reddito disponibile con la possibilità di stralciare parte del debito previo parere dell’OCC e omologa del Tribunale.
2. Concordato minore (ex accordo di composizione della crisi): destinato a piccoli imprenditori, start‑up innovative, professionisti e associazioni che non hanno i requisiti per l’accesso alla procedura concorsuale ordinaria. Prevede un accordo con i creditori omologato dal Tribunale con cui si possono dilazionare o falcidiare i debiti fiscali.
3. Liquidazione controllata del patrimonio: procedura con la quale il debitore mette a disposizione tutti i propri beni per soddisfare i creditori e, dopo tre anni, ottiene l’esdebitazione.
4. Esdebitazione del debitore incapiente: istituita dal Codice della Crisi, permette a chi non possiede alcun patrimonio e dimostra meritevolezza di liberarsi da tutti i debiti residui.

Nel contesto dell’accertamento fiscale, queste procedure possono rappresentare un’ancora di salvezza per l’imprenditore o il professionista informatico che, a seguito di avvisi esecutivi, non riesca a far fronte alle pretese dell’Erario. Tuttavia, l’accesso richiede l’intervento dell’Organismo di Composizione della Crisi e la verifica dei requisiti di meritevolezza; l’avv. Monardo, in qualità di gestore della crisi e consulente fiduciario di un OCC, è in grado di valutare la fattibilità di queste soluzioni.

2. Giurisprudenza recente

La giurisprudenza della Corte di Cassazione ha delineato negli ultimi anni principi che incidono in modo significativo sugli accertamenti a carico di professionisti e imprese informatiche.

1. Concorso di terzi nelle violazioni tributarie (Cass. civ. n. 21222/2024) – con la sentenza 21222/2024, la Suprema Corte ha stabilito che il consulente fiscale o l’intermediario che partecipa alla frode può essere sanzionato per concorso se la sua condotta, come la trasmissione della dichiarazione, ha contribuito alla violazione. È stato affermato che l’art. 9 del D.Lgs. 472/1997, che prevede la responsabilità per concorso, è compatibile con l’art. 7 del D.L. 269/2003: pertanto, anche soggetti diversi dagli amministratori possono essere chiamati a rispondere . Questa decisione interessa le pen test company quando si avvalgono di consulenti esterni (commercialisti, fiscalisti) o piattaforme di contabilità; qualora tali professionisti favoriscano l’evasione (per esempio alterando fatture o omettendo dichiarazioni), l’Agenzia potrà irrogare sanzioni a entrambi i soggetti.
2. Contraddittorio e prova di resistenza (Cass. S.U. n. 21271/2025) – le Sezioni Unite della Cassazione hanno definito, con la sentenza 21271/2025, l’ambito del contraddittorio antecedente alla riforma del 2023. La Corte ha ricordato che, nel sistema precedente, la violazione del contraddittorio endoprocedimentale comportava l’invalidità dell’avviso solo se il contribuente dimostrava concretamente quali argomentazioni avrebbe potuto far valere (prova di resistenza). In tema di tributi armonizzati, l’onere probatorio grava sul contribuente . Oggi, con l’art. 6‑bis, l’obbligo di contraddittorio è generalizzato e la mancanza dello stesso rende l’atto annullabile anche senza prova di resistenza; tuttavia, la giurisprudenza precedente resta rilevante per interpretare le cause pregresse e per i giudizi relativi a periodi d’imposta antecedenti al 2024.
3. Responsabilità del professionista per concorso (Cass. civ. n. 7948/2025) – un’altra decisione ha confermato che il professionista può essere ritenuto responsabile delle sanzioni se, pur non avendo tratto profitto, ha fornito un apporto causale alla violazione. La Corte ha precisato che la responsabilità per concorso richiede l’elemento soggettivo della colpa o del dolo e che non è sufficiente la semplice qualifica professionale; occorrono condotte materiali o omissioni che abbiano consentito la frode. La pronuncia ha respinto la tesi di chi riteneva che solo gli organi societari potessero essere destinatari delle sanzioni .
4. Prestazioni gratuite e presunzione di ricavi (Cass. ord. n. 4135/2026) – con ordinanza 4135/2026, la Corte ha affermato che la gratuità dei servizi professionali non comporta automaticamente evasione. Nel caso di specie l’Agenzia delle Entrate aveva presunto ricavi occulti poiché il commercialista svolgeva servizi a titolo gratuito; la Corte ha statuito che la prestazione gratuita è ammessa e che la deducibilità dei costi può essere riconosciuta se il contribuente fornisce elementi di prova concreti . Ciò assume rilievo per le pen test company che spesso offrono “proof of concept” gratuiti o servizi di penetration test dimostrativi: la gratuità deve essere adeguatamente documentata (contratti, email, dichiarazioni del cliente) per evitare presunzioni di ricavi occulti.
5. Contraddittorio nei tributi armonizzati (Cass. ord. n. 2795/2025) – una ordinanza del 5 febbraio 2025 ha ribadito che, in materia di IVA (tributo armonizzato), la violazione del contraddittorio endoprocedimentale comporta l’invalidità dell’atto solo se il contribuente ha indicato le ragioni che avrebbe potuto dedurre e che non siano meramente pretestuose . Questa giurisprudenza va considerata per gli anni d’imposta precedenti al 2024 e per i contenziosi ancora pendenti.

Questi orientamenti illustrano come la Corte richieda rigore nel rispetto delle garanzie procedurali e al contempo individui responsabilità personali laddove i professionisti abbiano concorso all’evasione. Le pen test company, anche se specializzate in ambiti tecnologici, devono prestare attenzione ai profili fiscali e legali e scegliere consulenti competenti per evitare contenziosi.

Procedura passo‑passo dopo la notifica dell’atto

In questa sezione viene analizzato il percorso operativo da seguire quando l’Agenzia delle Entrate o la Guardia di Finanza notifica un atto di accertamento a una società di penetration testing. La procedura proposta è valida anche per altre tipologie di imprese, ma le peculiarità del settore informatico (contratti misti, presenza di clienti esteri, beni immateriali) richiedono accorgimenti specifici.

1. Verifica del tipo di atto ricevuto

1. Distinguere tra comunicazioni e avvisi: l’Agenzia può inviare un avviso bonario (esito di controllo automatico o formale), una lettera di compliance (comunicazione di anomalie) o un invito al contraddittorio. Questi atti non sono esecutivi e consentono di correggere eventuali errori (per esempio, un’omissione di dichiarazione per un contributo integrativo) o di presentare documentazione mancante. L’avviso di accertamento, invece, è un atto impositivo che può essere autonomamente impugnato e, dopo le riforme, assume natura esecutiva . Per una pen test company è essenziale distinguere la tipologia perché l’inerzia davanti a un avviso di accertamento comporta la nascita del titolo esecutivo.
2. Controllare la legittimità formale: verificare che l’atto sia firmato dal capo dell’ufficio o da un delegato, contenga le indicazioni sull’imponibile, le aliquote applicate e la motivazione; in mancanza di tali elementi l’atto è nullo. Se l’atto richiama documenti, questi devono essere allegati; la mancata allegazione è causa di nullità.
3. Verificare la notifica: accertarsi che l’atto sia stato notificato correttamente al domicilio digitale (PEC) o, in mancanza, con raccomandata. Controllare la data di ricezione e il soggetto che ha firmato l’avviso di ricevimento. Se la PEC era satura o non attiva, verificare se l’avviso è stato depositato sull’area InfoCamere; in tale caso, la notifica si perfeziona il quindicesimo giorno successivo alla pubblicazione . Eventuali vizi nella notifica possono essere sollevati nel ricorso.
4. Verificare i termini di decadenza: l’Amministrazione deve notificare l’avviso entro il 31 dicembre del quinto anno successivo a quello di presentazione della dichiarazione per le imposte dirette (quarto anno per IVA). Se le violazioni sono penali, il termine può essere prorogato; per la società informatica è quindi opportuno verificare la data di notifica rispetto all’anno d’imposta.

2. Analisi tecnica e contabile

1. Ricostruzione dei ricavi: analizzare con il commercialista tutte le fatture, gli incassi e i contratti. Per i servizi di penetration testing è frequente concedere una fase iniziale gratuita o a tariffa ridotta; è necessario conservare i contratti in cui è evidenziato il valore delle prestazioni gratuite e il loro ruolo propedeutico alla vendita di servizi più importanti. La Cassazione ha chiarito che le prestazioni gratuite non determinano automaticamente ricavi occulti, ma richiedono un’adeguata prova .
2. Verifica dell’inerenza dei costi: l’Ufficio contesta spesso la deducibilità dei costi legati a strumenti informatici (licenze, hardware) o a consulenze esterne, sostenendo che non siano inerenti all’attività. È importante dimostrare l’utilità economica dei costi per lo svolgimento dei test di sicurezza, conservare contratti e documenti tecnici e fornire perizia se necessario.
3. Controllo delle imposte indirette: esaminare la corretta applicazione dell’IVA nelle prestazioni transfrontaliere; per esempio, le prestazioni rese a clienti UE o extra-UE seguono le regole del luogo del destinatario; un’errata applicazione può determinare recuperi d’imposta. L’Agenzia può contestare l’abuso del reverse charge o l’errato trattamento di licenze software come cessione di beni invece che prestazione di servizi. La contabilità deve evidenziare il nesso tra servizi di sicurezza e software.
4. Valutazione del regime di transfer pricing: per le società che operano in gruppo o con filiali estere, le verifiche si concentrano sulla congruità dei prezzi di trasferimento per i servizi di pen test. È opportuno predisporre la documentazione Master File e Country File per dimostrare la corretta allocazione dei margini.

3. Attivazione del contraddittorio preventivo

Se l’avviso è preceduto da un invito al contraddittorio (art. 6‑bis), è necessario:

1. Esaminare lo schema di atto: l’Ufficio deve comunicare lo schema di accertamento con le motivazioni e i calcoli. La società deve analizzare le contestazioni con il proprio consulente e predisporre le controdeduzioni.
2. Richiedere copia degli atti: il contribuente può accedere agli atti del fascicolo e ottenere copia, incluso il processo verbale di constatazione redatto dalla Guardia di Finanza, i documenti bancari, i calcoli di presunzione. Questi documenti sono indispensabili per replicare efficacemente.
3. Preparare controdeduzioni: nella memoria difensiva occorre spiegare tecnicamente perché le presunzioni dell’Ufficio sono infondate (es. test gratuiti non sono ricavi, costi sostenuti per licenze open‑source sono inerenti, transazioni estere soggette a reverse charge). È opportuno allegare contratti, perizie, certificazioni ISO/IEC 27001, eventuali normative sulla sicurezza informatica che giustificano i costi.
4. Svolgere l’incontro: durante l’audizione è possibile illustrare verbalmente le tesi difensive. L’Ufficio deve tenere conto delle osservazioni e motivare le ragioni dell’eventuale mancato accoglimento . Se le controdeduzioni sono solide, l’Amministrazione può rivedere l’imponibile o archiviare la procedura.

Se l’Ufficio non invia l’invito al contraddittorio nonostante l’atto sia impugnabile e non rientri nelle eccezioni, il contribuente potrà eccepire la nullità dell’avviso per violazione dell’art. 6‑bis.

4. Valutazione dell’adesione e dell’acquiescenza

Prima di impugnare l’avviso, la pen test company deve considerare la possibilità di definire la lite mediante strumenti deflattivi:

1. Accertamento con adesione (art. 8, D.Lgs. 218/1997): è una procedura volontaria che consente, entro il termine di ricorso, di presentare un’istanza per instaurare un contraddittorio con l’Ufficio e per definire le imposte e le sanzioni con riduzioni. Il contribuente che aderisce paga gli importi concordati con sanzioni ridotte a un terzo e ottiene la sospensione del termine per presentare ricorso. Nel settore informatico è utile per evitare contenziosi lunghi e tutelare la reputazione aziendale.
2. Acquiescenza e rinuncia al ricorso (art. 15, D.Lgs. 218/1997): permette di definire l’accertamento con sanzioni ridotte a un terzo per chi non intende contestare. Questo strumento è utilizzabile se l’imponibile contestato è corretto e l’azienda vuole evitare spese legali; tuttavia, con l’avviso esecutivo occorre pagare entro il termine e la definizione non sospende l’esecuzione.
3. Ravvedimento operoso: se l’avviso deriva da omessa o errata dichiarazione e non vi è ancora un atto di accertamento, la società può correggere la dichiarazione e beneficiare delle riduzioni delle sanzioni. Con la riforma del 2024, il ravvedimento può essere esercitato anche dopo la notifica di alcune comunicazioni e prevede la possibilità di applicare il cumulo giuridico .

5. Presentazione del ricorso

Quando l’azienda decide di impugnare l’avviso, deve seguire una serie di passaggi:

1. Scelta dell’organo giurisdizionale: la competenza è della Corte di giustizia tributaria di primo grado (ex Commissione Tributaria Provinciale) del luogo in cui ha sede l’ufficio che ha emesso l’atto. È necessario depositare il ricorso entro 60 giorni dalla notifica (termine prorogato di ulteriori 30 giorni se sussiste la sospensione feriale di agosto). Per gli avvisi notificati per posta il termine decorre dalla data di ricezione.
2. Contenuto del ricorso: deve indicare l’atto impugnato, i motivi di illegittimità (vizi formali, violazioni di legge, erroneità di calcolo, insussistenza dei presupposti), le richieste (annullamento totale o parziale), l’eventuale sospensione dell’esecuzione e il valore della causa. È necessario allegare l’atto impugnato e la prova della notifica.
3. Istanza di sospensione: poiché l’avviso è esecutivo, è fondamentale chiedere la sospensione dell’esecuzione forzata; il giudice decide sull’istanza in camera di consiglio. Occorre dimostrare il periculum in mora (danno grave) e il fumus boni iuris (probabilità di successo).
4. Deposito telematico: dal 2024 il processo tributario è integralmente telematico; occorre utilizzare la piattaforma SIAT e allegare la procura alle liti. È opportuno farsi assistere da un avvocato tributarista.
5. Pagamento della quota provvisoria: se l’avviso viene impugnato, la legge prevede l’iscrizione a ruolo provvisoria di un terzo del tributo; la società deve versare tale importo entro il termine indicato per evitare l’avvio delle procedure esecutive. L’eventuale rottamazione potrà riguardare solo tale quota .

6. Gestione della fase esecutiva

Se il ricorso non viene proposto o se il giudice rigetta l’istanza di sospensione, l’atto diventa esecutivo e l’agente della riscossione può procedere:

1. Notifica del preavviso di fermo o ipoteca: l’agente invia un preavviso di fermo amministrativo sui beni mobili registrati o di iscrizione di ipoteca sugli immobili. La pen test company che utilizza veicoli per l’assistenza clienti o possiede immobili dovrà agire per evitare tali misure.
2. Pignoramento presso terzi: l’agente può pignorare i crediti vantati verso clienti (ad esempio contratti di manutenzione), bloccare conti correnti o incassare crediti derivanti da voucher o bonus. È importante monitorare tempestivamente le comunicazioni degli agenti e intervenire con opposizione agli atti esecutivi quando vi siano vizi.
3. Dilazione del pagamento: ai sensi dell’art. 19 del DPR 602/73, la società può chiedere un piano di rateazione; tuttavia, con l’avviso esecutivo la dilazione è possibile solo dopo l’affidamento agli agenti . Il piano può arrivare fino a 72 rate mensili o, in caso di comprovate difficoltà finanziarie, 120 rate. La concessione è subordinata alla regolarità dei versamenti di altri debiti e richiede la presentazione di documentazione contabile.

7. Pianificazione preventiva

La gestione del rischio fiscale passa anche dalla prevenzione. Una pen test company dovrebbe:

1. Adottare un tax control framework: implementare procedure di controllo interno per monitorare la fatturazione, l’archiviazione dei contratti, il rispetto delle norme IVA e delle regole sulla sicurezza dei dati. Mantenere un registro delle attività con prove della gratuità di servizi dimostrativi.
2. Utilizzare la firma elettronica e il blockchain: per i contratti di sviluppo software o penetration testing, firmare digitalmente i documenti e conservare le prove (hash, timestamp) può facilitare la prova dell’avvenuta prestazione.
3. Iscrivere un domicilio digitale speciale: eleggere un indirizzo PEC dedicato alle notifiche fiscali per evitare saturazioni e delegare la gestione a un professionista che controlli quotidianamente l’arrivo di atti .
4. Monitorare normative e giurisprudenza: la frequenza delle riforme (contraddittorio, sanzioni, riscossione) impone un aggiornamento continuo; avvalersi di consulenti esperti garantisce l’adattamento alle novità.

Difese e strategie legali

1. Vizi formali dell’avviso

Molti avvisi di accertamento possono essere invalidati per errori formali. Le principali eccezioni sono:

1. Difetto di motivazione: l’atto deve indicare gli elementi di fatto e di diritto su cui si fonda; la mera indicazione dell’ammontare senza illustrare le ragioni della rettifica viola l’art. 42 DPR 600/73. Una pen test company può contestare l’omissione di allegazioni (verbale di constatazione, prospetti di calcolo) e la genericità della motivazione.
2. Violazione del contraddittorio: se l’atto rientra tra quelli per cui è obbligatorio il contraddittorio e l’Amministrazione non ha invitato il contribuente a presentare osservazioni, l’avviso è annullabile . L’eccezione deve essere sollevata sin dal primo grado di giudizio.
3. Vizi di notifica: l’atto deve essere notificato al domicilio fiscale corretto o al domicilio digitale; eventuali errori nel recapito possono determinare l’inesistenza o nullità della notifica. Occorre verificare la documentazione dell’agente notificate (ricevuta di consegna PEC o avviso di deposito) .
4. Carente delega di firma: la firma deve provenire dal dirigente competente o da un soggetto delegato; la mancata prova della delega è causa di nullità.
5. Decadenza: se l’avviso è notificato oltre il termine di legge (es. 31 dicembre del quinto anno), l’atto è nullo. La Cassazione richiede la prova della data di spedizione e ricezione; in caso di notifica a mezzo PEC la ricevuta di accettazione fa fede .

2. Vizi sostanziali

1. Inesistenza del presupposto: contestare la ricostruzione dei ricavi quando l’Ufficio ha considerato ricavi inesistenti (es. servizi gratuiti) o ha applicato presunzioni non supportate da circostanze gravi, precise e concordanti . Occorre dimostrare, con contratti e testimonianze, che le prestazioni gratuite sono finalizzate a promuovere servizi successivi e che non generano ricavi.
2. Inerenza dei costi: dimostrare che i costi per hardware, software, licenze e formazione sono necessari per l’attività. Ad esempio, costi per certificazioni ISO, per vulnerabilità management, per infrastrutture di laboratorio sono deducibili se documentati.
3. Errata applicazione dell’IVA: contestare la qualificazione dell’operazione (cessione di bene vs prestazione di servizi) e la territorialità; per i contratti di licenza SaaS occorre dimostrare che si tratta di servizio elettronico non imponibile in Italia se il committente è estero.
4. Abuso del diritto: l’Amministrazione può disconoscere operazioni volte ad ottenere vantaggi fiscali indebiti. È necessario dimostrare la sostanza economica dei contratti e la liceità degli scopi.

3. Strategia difensiva personalizzata

1. Analisi preventiva con professionisti: affidare l’esame dell’accertamento a un team multidisciplinare (avvocato tributarista, commercialista, tecnico informatico) per individuare tutte le criticità e predisporre la strategia migliore.
2. Negoziazione e contraddittorio: utilizzare il contraddittorio preventivo per ridurre o eliminare i recuperi, presentando prove tecniche e contabili. Spesso l’Ufficio accetta una revisione dell’imponibile se vengono dimostrate le attività svolte e i costi sostenuti.
3. Ricorso tempestivo: se non è possibile trovare un accordo, occorre impugnare l’atto entro i termini. È consigliabile richiedere la sospensione dell’esecuzione per evitare pignoramenti e proteggere la continuità aziendale.
4. Adesione parziale: in alcuni casi può essere vantaggioso contestare solo una parte dell’avviso e aderire sul restante; in tal modo si riducono le sanzioni e si limitano i rischi di soccombenza.
5. Pianificazione di cassa: preparare un piano di liquidità per fronteggiare le quote provvisorie iscritte a ruolo (un terzo dopo la sentenza di primo grado, due terzi dopo la sentenza di secondo grado) e valutare l’eventuale ricorso alla finanza aziendale o al credito bancario.
6. Procedure concorsuali: se il debito fiscale minaccia la solvibilità, considerare la composizione negoziata o le procedure di sovraindebitamento. L’avv. Monardo, in qualità di gestore della crisi, può assistere l’impresa nell’accesso al concordato minore o al piano del consumatore.

Strumenti alternativi e misure agevolative

1. Definizioni agevolate e rottamazioni

La rottamazione-quinquies prevista dalla legge di bilancio 2026 consente di estinguere i debiti affidati all’agente della riscossione, dal 1° gennaio 2000 al 31 dicembre 2023, versando solo il capitale e le spese di notifica. Non si applicano gli interessi di mora, le sanzioni e gli aggi dell’agente . La domanda deve essere presentata entro il 30 aprile 2026 e le rate si pagano entro luglio 2026 e novembre 2026 (o in quattro anni). Tuttavia, sono esclusi i debiti derivanti da avvisi di accertamento esecutivi, che potranno essere rottamati soltanto dopo l’iscrizione a ruolo provvisoria a seguito di sentenza . I contribuenti destinatari di avvisi possono quindi definire con la rottamazione solo le somme che l’agente ha già iscritto a ruolo (un terzo o i due terzi delle imposte) e non l’atto originario.

In alternativa, i contribuenti possono aderire a definizioni agevolate previste da leggi speciali: ad esempio, la definizione delle liti pendenti (chiusura del contenzioso versando una percentuale dell’imposta), la regolarizzazione delle irregolarità formali, la definizione agevolata degli avvisi di accertamento con adesione. Periodicamente il legislatore introduce condoni; occorre monitorare le leggi di bilancio e i decreti emergenziali per verificare se sono applicabili alle fattispecie relative ai test di sicurezza informatica.

2. Ravvedimento operoso

Il ravvedimento operoso consente di ridurre sanzioni e interessi pagando spontaneamente l’imposta dovuta prima che l’Amministrazione contesti la violazione. Con le riforme del 2024, l’istituto è stato ampliato: è ora possibile ravvedersi anche dopo la notifica di una comunicazione bonaria, di un avviso di liquidazione o di un accertamento con adesione, pagando sanzioni proporzionalmente ridotte . Inoltre, il ravvedimento è applicabile anche per errori che comportano violazioni multiple; in tal caso si applica il cumulo giuridico sulla sanzione più grave . Per le pen test company che si accorgono di aver omesso ricavi o dedotto costi non inerenti, è consigliabile correggere tempestivamente le dichiarazioni e pagare le somme dovute per evitare accertamenti più onerosi.

3. Concordato preventivo biennale

Tra le novità più rilevanti del 2024 vi è l’introduzione del Concordato preventivo biennale (CPB), un istituto attraverso il quale l’Amministrazione e il contribuente predeterminano il reddito per due periodi d’imposta. Il CPB si basa sulla dichiarazione dei dati che alimentano l’algoritmo ISA (indicatori sintetici di affidabilità) e consente di concordare un reddito agevolato; in cambio, il contribuente si impegna a pagare le imposte concordate. Questo strumento può essere interessante per le piccole pen test company che hanno difficoltà a gestire la volatilità dei ricavi. Tuttavia, in presenza di accertamenti in corso, il CPB non è accessibile; è quindi opportuno valutare l’adesione prima che scatti la procedura di accertamento.

4. Soluzioni negoziali e composizione della crisi

Quando l’avviso di accertamento mette in difficoltà la continuità aziendale, è possibile ricorrere alle procedure di composizione negoziata introdotte dal D.L. 118/2021 e al Codice della Crisi d’Impresa. Le principali opzioni sono:

1. Composizione negoziata: procedura volontaria attivabile tramite la piattaforma digitale delle Camere di commercio; permette di nominare un esperto negoziatore (come l’avv. Monardo) che assiste l’imprenditore nella ricerca di un accordo con i creditori, compresa l’Agenzia delle Entrate. Durante la procedura si possono ottenere misure protettive (sospensione delle azioni esecutive) e continuare l’attività.
2. Concordato semplificato: destinato a imprese che non hanno attivo un valore significativo; consente di liquidare l’azienda e ripartire il ricavato ai creditori. Può essere usato quando non vi sono prospettive di risanamento.
3. Piano del consumatore e Concordato minore: come illustrato sopra, consentono di proporre un pagamento rateale e parziale dei debiti, comprensivi delle imposte. L’omologa del Tribunale rende il piano vincolante per l’Amministrazione finanziaria.
4. Esdebitazione: al termine della procedura di liquidazione controllata, il debitore incapiente può ottenere l’esdebitazione totale, liberandosi dai debiti residuali.

5. Strategie per la gestione del contenzioso

Per una pen test company è essenziale valutare la strategia processuale. Se le contestazioni riguardano elementi tecnici (es. natura del servizio offerto) è consigliabile integrare il ricorso con perizie informatiche che chiariscano come vengono forniti i servizi. Se l’accertamento concerne ricavi presunti, può essere utile dimostrare la tracciabilità delle prestazioni mediante log di sistema, report di sicurezza, documentazione di accesso ai server. Una difesa mirata e supportata da prove tecniche aumenta le possibilità di successo.

Errori comuni e consigli pratici

In questa sezione vengono elencati gli errori più frequenti commessi dalle pen test company e i consigli per evitarli:

1. Ignorare le PEC: molte società non controllano la casella PEC o la lasciano scadere. Poiché la notifica al domicilio digitale è pienamente valida , l’azienda può perdere il termine di ricorso senza accorgersene. È fondamentale delegare un collaboratore o un professionista al controllo quotidiano delle PEC.
2. Non archiviare i contratti: la mancanza di documentazione contrattuale dimostra l’assenza di ricavi. Tutti i contratti di pen testing, licenze, manutenzione e consulenze devono essere archiviati digitalmente e firmati.
3. Omettere la fatturazione delle prestazioni gratuite: anche i test gratuiti devono essere documentati (ad esempio con una fattura a zero o con una nota di prestazione) per giustificare l’assenza di ricavi. In caso contrario, l’Agenzia può presumere proventi occultati .
4. Gestione errata dell’IVA: l’errata applicazione del reverse charge o l’omessa registrazione di fatture estere comporta recupero dell’IVA e sanzioni; è necessario verificare la corretta territorialità.
5. Non attivare il contraddittorio: se l’Ufficio invia l’invito, non rispondere è un grave errore. Presentare controdeduzioni ben argomentate può ridurre l’imponibile o evitare l’accertamento. La mancanza di riscontro potrebbe essere interpretata come adesione implicita.
6. Ricorsi tardivi o incompleti: depositare il ricorso oltre i 60 giorni comporta l’inammissibilità. È necessario coordinarsi con l’avvocato tributarista per rispettare i termini e predisporre un ricorso completo di tutte le eccezioni.
7. Sottovalutare l’incidenza delle sanzioni: le sanzioni possono superare il 100 % dell’imposta. Con il D.Lgs. 87/2024 alcune violazioni sono state ridotte, ma i ritardi nella regolarizzazione comportano sanzioni maggiori . È opportuno valutare il ravvedimento.
8. Trascurare la pianificazione fiscale internazionale: molte pen test company operano con clienti esteri; la mancata predisposizione della documentazione transfer pricing o la gestione impropria dei modelli Intrastat può determinare sanzioni.

Tabelle riepilogative

Di seguito sono riportate alcune tabelle riassuntive utili per orientarsi tra le normative, i termini e gli strumenti difensivi. Le tabelle contengono parole chiave e valori numerici; le spiegazioni sono fornite nei paragrafi precedenti.

Tabella 1 – Norme e atti principali

Tabella 2 – Termini e scadenze principali

Tabella 3 – Strumenti difensivi a confronto

Domande frequenti (FAQ)

1. Cos’è l’avviso di accertamento per una pen test company?
È l’atto con cui l’Agenzia delle Entrate rettifica il reddito o l’IVA dichiarati dall’azienda. A seguito della riforma della riscossione, l’avviso contiene anche l’intimazione a pagare e, decorso il termine di ricorso, diventa immediatamente esecutivo .

2. Qual è la differenza tra avviso bonario e avviso di accertamento?
L’avviso bonario deriva da controlli automatici o formali e invita a correggere errori, senza natura esecutiva. L’avviso di accertamento è un atto impositivo che può essere impugnato e, dopo le riforme, anche esecutivo.

3. Cosa devo fare se ricevo un invito al contraddittorio?
Devi analizzare attentamente le contestazioni con un professionista e presentare controdeduzioni entro i 60 giorni previsti . È il momento migliore per fornire prove tecniche (contratti, report, log) e cercare un accordo.

4. Posso ignorare un atto notificato via PEC se non leggo la posta?
No. La notifica via domicilio digitale è pienamente valida; se la casella è satura l’atto viene depositato sul portale InfoCamere e si considera notificato dopo 15 giorni .

5. Come contestare l’inesistenza di ricavi presunti?
È necessario dimostrare con documenti che le prestazioni erano gratuite per ragioni promozionali o contrattuali. La Cassazione ha riconosciuto che i servizi gratuiti non comportano per forza ricavi occulti .

6. Un consulente esterno può essere sanzionato per errori dell’azienda?
Sì. La Cassazione ha stabilito che anche il consulente o intermediario può concorrere nelle violazioni tributarie se la sua condotta ha contribuito alla frode . Le pen test company devono scegliere consulenti affidabili e collaborare con loro.

7. L’obbligo di contraddittorio si applica sempre?
Si applica a tutti gli atti autonomamente impugnabili, salvo gli atti automatizzati, di controllo formale o nei casi di pericolo per la riscossione .

8. Cosa succede se non presento ricorso entro 60 giorni?
L’avviso diventa definitivo e, poiché è esecutivo, l’agente della riscossione può procedere a pignoramenti, fermi o ipoteche senza emettere la cartella .

9. Posso pagare a rate l’avviso esecutivo?
Sì, ma la rateazione (fino a 72 o 120 rate) può essere richiesta solo dopo l’affidamento alla riscossione . Prima di allora è possibile solo pagare integralmente o impugnare l’atto.

10. È possibile definire un avviso esecutivo con la rottamazione?
No. La rottamazione-quinquies riguarda solo i carichi affidati all’agente derivanti da comunicazioni automatiche . Gli avvisi esecutivi possono essere rottamati solo dopo la sentenza e l’iscrizione a ruolo provvisoria .

11. Cosa prevede il concordato preventivo biennale?
Permette di concordare con l’Agenzia il reddito per due anni sulla base degli ISA. Può essere utile per piccole realtà; tuttavia non è accessibile se è già stato notificato un avviso di accertamento.

12. Quali sanzioni si applicano con la nuova riforma?
La sanzione per omessa dichiarazione è fissata al 120 % del tributo con un minimo di 250 €, e il cumulo giuridico prevede l’applicazione della sanzione per la violazione più grave aumentata da un quarto al doppio .

13. Come si calcola il termine di notifica dell’avviso?
Per le imposte sui redditi l’avviso va notificato entro il 31 dicembre del quinto anno successivo a quello di presentazione della dichiarazione; per l’IVA entro il quarto anno. Se la violazione è penale i termini si allungano.

14. Che differenza c’è tra piano del consumatore e concordato minore?
Il piano del consumatore (ora piano di ristrutturazione dei debiti) riguarda persone fisiche non imprenditori; il concordato minore è destinato a imprenditori non fallibili e professionisti. Entrambi prevedono la possibilità di falcidiare il debito, ma necessitano dell’omologazione del Tribunale e dell’intervento dell’OCC.

15. Come si dimostra l’inerenza dei costi informatici?
È necessario spiegare la funzione dei software, hardware o servizi acquistati in relazione all’attività di penetration testing. Contratti, fatture dettagliate, perizie tecniche e normative di settore (ISO 27001, NIST) possono essere utilizzate come prova.

16. È possibile annullare un avviso per difetto di firma?
Sì. L’avviso deve essere sottoscritto dal dirigente o da un delegato; la mancanza di firma o la firma di soggetto non competente determina la nullità.

17. Cosa accade se la PEC è saturata?
L’ufficio effettua un secondo invio dopo sette giorni; se anche questo fallisce, deposita l’atto nell’area riservata InfoCamere e pubblica un avviso. La notificazione si perfeziona il quindicesimo giorno successivo alla pubblicazione .

18. Posso eleggere un domicilio digitale speciale?
Sì. È possibile comunicare all’Agenzia un indirizzo PEC dedicato alle notifiche fiscali; l’aggiornamento e la revoca sono disciplinati da provvedimenti del direttore dell’Agenzia .

19. In quali casi l’avviso è immediatamente esecutivo prima di 60 giorni?
Quando vi è fondato pericolo per la riscossione (es. rischio di distrazione dei beni), l’affidamento alle società di riscossione può avvenire 60 giorni dopo la notifica .

20. Che cos’è la prova di resistenza e vale ancora?
Era l’onere, stabilito dalla Cassazione per il periodo ante 2024, di dimostrare quali difese si sarebbero potute dedurre in sede di contraddittorio. Con la riforma del 2023 (art. 6‑bis) la violazione del contraddittorio rende l’atto annullabile senza prova di resistenza; tuttavia, la giurisprudenza precedente resta rilevante per gli anni passati .

Simulazioni pratiche e numeriche

Esempio 1 – Verifica di ricavi presunti e difesa tecnica

Scenario: CyberShieldxxxx Srl, società di penetration testing con 10 dipendenti, fattura 1 milione di euro nel 2024. L’Agenzia effettua un accesso nel novembre 2025 e contesta la mancata fatturazione di 200 000 € per servizi di audit di sicurezza forniti gratuitamente a un cliente in prospettiva di una futura fornitura di licenze software.

Contestazione: L’avviso di accertamento riqualifica i servizi gratuiti come ricavi, applica un’aliquota IRES del 24 % e IRAP del 3,9 %, recuperando 55 800 € di imposte, a cui si aggiungono sanzioni per omessa fatturazione pari al 120 % (66 960 €) e interessi del 4 %. L’importo totale richiesto è di circa 125 000 €.

Difesa:

1. Contraddittorio: l’azienda fornisce contratti e e‑mail in cui il cliente chiede una prova gratuita propedeutica alla stipula di un contratto triennale di licenza. Fornisce inoltre un documento di policy commerciale che prevede prove gratuite fino a 10 giorni come standard per acquisire clienti. Si richiama la giurisprudenza che riconosce la liceità delle prestazioni gratuite . L’Ufficio riduce l’importo recuperato a 40 000 €.
2. Adesione: dopo la riduzione, l’azienda aderisce all’accertamento con sanzioni ridotte a un terzo. Paga 40 000 € di imposte e 13 000 € di sanzioni; risparmia oltre 50 000 € rispetto alla richiesta iniziale e chiude la controversia.

Esempio 2 – Ricorso e sospensione dell’esecuzione

Scenario: SecureCodexxxx SpA riceve a dicembre 2025 un avviso di accertamento esecutivo che rettifica i ricavi di 500 000 € per l’anno 2022, contestando la non inerenza dei costi per licenze open‑source (100 000 €) e applicando sanzioni per l’omessa corretta dichiarazione. L’importo complessivo richiesto è 200 000 €.

Azione:

1. Ricorso: l’azienda presenta ricorso alla Corte di giustizia tributaria entro 60 giorni, eccependo la violazione del contraddittorio (non vi era stato alcun invito) e l’infondatezza della contestazione. Chiede la sospensione dell’esecuzione.
2. Sospensione: il giudice, valutati i motivi e il pregiudizio (l’azienda rischia di non pagare gli stipendi e perdere una commessa), sospende l’esecuzione per tutta la durata del giudizio. Non viene iscritta ipoteca né pignorato il conto.
3. Decisione: la Corte, accertata la violazione dell’art. 6‑bis, annulla l’avviso. L’Agenzia restituisce gli importi già versati come acconto.

Esempio 3 – Utilizzo del sovraindebitamento

Scenario: PenTest Solutions Snc, società di persone con due soci, accumula debiti fiscali per 300 000 € a causa di ripetuti accertamenti. Non riesce a far fronte ai pagamenti e rischia il pignoramento dei beni personali dei soci.

Soluzione:

1. I soci, che non superano i limiti di fallibilità, si rivolgono a un OCC. L’avv. Monardo, quale gestore della crisi, predispone un piano del consumatore in cui si prevede il pagamento del 30 % dei debiti in cinque anni mediante prelievo mensile dal conto e la liberazione del restante 70 %. Il piano viene omologato dal Tribunale.
2. Durante l’esecuzione, tutte le azioni esecutive sono sospese; l’agente della riscossione non può iscrivere ipoteche. Al termine del piano, i soci ottengono l’esdebitazione e salvano l’impresa.

Conclusione

L’accertamento fiscale è una procedura complessa che, a seguito delle riforme recenti, ha assunto un carattere sempre più incisivo. Per le società di penetration testing e più in generale per le imprese digitali, i rischi fiscali derivano non solo dalla dimensione economica ma anche dalla difficoltà di interpretare correttamente la natura delle prestazioni, la territorialità dell’IVA e l’inerenza dei costi. Le norme analizzate – dall’art. 39 del DPR 600/73 alle riforme del contraddittorio, del domicilio digitale e della riscossione – delineano un quadro in cui la tempestività e la precisione dei comportamenti diventano decisivi. La Cassazione ha mostrato, attraverso la giurisprudenza recente, una linea severa verso i professionisti che concorrono nelle violazioni , ma anche sensibile alla tutela del contraddittorio e alla valutazione della realtà economica (come nel caso delle prestazioni gratuite) .

Per non subire le conseguenze di un avviso di accertamento esecutivo – pignoramenti, ipoteche, fermi – la pen test company deve:

1. Monitorare costantemente il domicilio digitale per non perdere le notifiche .
2. Verificare immediatamente la regolarità dell’atto e dei termini.
3. Attivare il contraddittorio con controdeduzioni tecniche, documentare la gratuità dei test e l’inerenza dei costi.
4. Valutare strumenti deflattivi come l’adesione o la definizione agevolata, ma ricordare che la rottamazione non si applica agli avvisi .
5. Impostare una strategia processuale con professionisti specializzati, chiedendo la sospensione dell’esecuzione quando necessario.
6. Considerare le procedure di sovraindebitamento o la composizione negoziata quando i debiti mettono a rischio la sopravvivenza.

L’Avv. Giuseppe Angelo Monardo e il suo staff di avvocati e commercialisti sono pronti a supportare le pen test company lungo tutto il percorso: dall’analisi dell’atto all’eventuale ricorso, dalla predisposizione delle memorie tecniche alla negoziazione con l’Agenzia, fino all’assistenza nelle procedure di ristrutturazione e sovraindebitamento. La sua esperienza cassazionista e la sua funzione di gestore della crisi garantiscono una visione integrata, in grado di abbinare la difesa tributaria alle strategie di continuità aziendale.

📞 Contatta subito l’Avv. Giuseppe Angelo Monardo per una consulenza personalizzata: lui e il suo staff sapranno valutare la tua situazione e difenderti con strategie legali concrete e tempestive.