Introduzione

Negli ultimi anni il settore della cybersecurity ha conosciuto una crescita vertiginosa. Le società che forniscono servizi di sicurezza informatica gestiscono flussi di dati sensibili, operano con margini elevati e spesso sono attive in ambito internazionale. Questa esposizione fa sì che l’Amministrazione finanziaria guardi con particolare attenzione alle loro attività. Un accertamento fiscale, se mal gestito, può avere conseguenze devastanti: sanzioni, interessi, contestazioni penali e perfino il blocco dei conti correnti, con danni reputazionali incalcolabili. Le violazioni più frequenti riguardano la mancata congruità dei ricavi, l’utilizzo di fatture per operazioni inesistenti, l’omessa fatturazione di servizi digitali, l’uso improprio di crediti d’imposta informatici e la pianificazione fiscale aggressiva.

Nel 2024 e 2025 la disciplina dell’accertamento tributario è stata oggetto di un profondo restyling. Il decreto legislativo 13/2024 ha introdotto l’obbligo generalizzato di contraddittorio preventivo e ha riordinato le procedure di accertamento; il decreto legislativo 110/2024 ha modificato il processo esattoriale consentendo l’impugnazione immediata delle cartelle di pagamento in caso di pregiudizio ; il decreto legislativo 33/2025 ha unificato le norme sui versamenti e sulla riscossione, creando un “testo unico” con nuovi limiti alla compensazione e un canale unico di pagamento dei tributi ; la Legge di bilancio 2026 ha varato la rottamazione‑quinquies, consentendo di estinguere debiti affidati all’agente della riscossione fino al 31 dicembre 2023 senza interessi e sanzioni . Parallelamente la giurisprudenza ha fornito nuovi orientamenti sul valore probatorio dei documenti informatici, sul diritto alla privacy nei controlli bancari , sull’obbligo di motivazione dell’atto , sui limiti dell’accertamento induttivo e sulla distinzione tra elusione ed evasione .

Scopo di questo articolo è fornire alle società di cybersecurity (e a chi opera nel settore ICT) una guida completa e aggiornata su come affrontare un accertamento fiscale. L’articolo parte dal quadro normativo italiano – D.P.R. 600/1973, D.P.R. 633/1972, Statuto dei diritti del contribuente (Legge 212/2000), D.Lgs. 218/1997 sull’accertamento con adesione e le successive riforme – e analizza le procedure passo‑passo, i termini e i diritti del contribuente. Vengono illustrate le difese legali più efficaci per contestare la pretesa tributaria, sospendere la riscossione e definire i debiti mediante strumenti agevolati (rottamazioni, piani di rientro, concordato preventivo biennale). Il taglio è professionale e pratico, ma il linguaggio vuole essere divulgativo: l’obiettivo è che l’imprenditore, il manager o il professionista ICT comprendano cosa fare subito, come evitare errori e quando rivolgersi a un avvocato.

Presentazione dell’Avv. Giuseppe Angelo Monardo e del team multidisciplinare

L’Avv. Giuseppe Angelo Monardo è un avvocato cassazionista con tanti anni di esperienza nel diritto tributario e bancario. Coordina un team multidisciplinare di avvocati, commercialisti e consulenti con competenza nazionale, capace di affiancare imprese tecnologiche in ogni fase – dall’analisi degli atti alle difese processuali. È Gestore della crisi da sovraindebitamento (Legge 3/2012) iscritto negli elenchi del Ministero della Giustizia, Professionista fiduciario di un Organismo di Composizione della Crisi e Esperto negoziatore della crisi d’impresa ai sensi del D.L. 118/2021 e del nuovo Codice della crisi (D.Lgs. 14/2019).

L’Avv. Monardo e il suo staff offrono consulenza immediata per:

• Analisi dell’atto e verifica di eventuali vizi formali (mancanza di motivazione, difetto di contraddittorio, notifica tardiva);
• Ricorsi tributari presso Commissioni provinciali e regionali, fino alla Corte di cassazione;
• Sospensioni della riscossione e opposizione agli atti esecutivi (cartelle, pignoramenti, ipoteche) e strategie per evitare il blocco dei sistemi informatici aziendali;
• Trattative con l’Agenzia delle Entrate e accertamenti con adesione o adesioni ai processi verbali di constatazione;
• Piani di rientro e soluzioni alternative (rottamazioni, definizioni agevolate, concordato preventivo biennale, ristrutturazioni del debito, procedure ex Legge 3/2012).

👉 Contatta subito l’Avv. Giuseppe Angelo Monardo compilando il form in fondo a questo articolo per una valutazione legale personalizzata e immediata. L’esperienza del suo team ti consentirà di agire tempestivamente e di massimizzare le probabilità di successo.

Contesto normativo e giurisprudenziale aggiornato

La disciplina degli accertamenti fiscali in Italia ruota attorno a poche norme cardine. Per una società di cybersecurity è fondamentale comprendere come queste disposizioni si applicano alla propria attività e quali diritti offrono in caso di contestazione.

Potere di accertamento dell’Agenzia delle Entrate

Il D.P.R. 600/1973, che regola l’accertamento delle imposte sui redditi, attribuisce ampi poteri investigativi agli uffici: possono invitare il contribuente a fornire dati e informazioni, richiedere la esibizione di documenti, inviare questionari e procedere a ispezioni nei locali aziendali . Se il contribuente non risponde o si rifiuta di esibire le scritture contabili, la legge consente di ricostruire il reddito con presunzioni semplici, purché gravi, precise e concordanti . Tra gli articoli più rilevanti:

Riforma 2024‑2025 e nuova disciplina dell’accertamento

Il decreto legislativo 13/2024 rappresenta la più grande revisione degli ultimi decenni. Tra i punti chiave:

• Contraddittorio preventivo esteso: conferma e perfeziona l’art. 6‑bis, prevedendo l’obbligo di un preavviso motivato e la convocazione del contribuente per la discussione. L’atto emanato senza contraddittorio è nullo .
• Accertamento con adesione: viene armonizzato con il contraddittorio. È prevista la facoltà di aderire alle risultanze del processo verbale di constatazione (PVC) con riduzione delle sanzioni ad 1/6 del minimo, mentre per l’adesione all’avviso di accertamento restano le riduzioni ad 1/3 o ad 1/4 a seconda delle circostanze . La definizione è irrevocabile e inoppugnabile .
• Recupero dei crediti d’imposta: viene introdotto l’art. 38‑bis nel D.P.R. 600/1973. L’Agenzia può emettere un atto di recupero per crediti non spettanti o inesistenti compensati dal contribuente. Il termine di notifica è di cinque anni per i crediti non spettanti e di otto anni per quelli inesistenti . Le sanzioni variano: 25 % dell’utilizzo eccedente per crediti non spettanti e 70 % (ridotta) o 140 % (in caso di frode) per crediti inesistenti .
• Concordato preventivo biennale (CPB): riservato alle piccole imprese che applicano gli ISA (indicatori sintetici di affidabilità). L’Agenzia propone un reddito concordato per due periodi d’imposta; il contribuente che accetta è vincolato, ma beneficia di preclusione agli accertamenti e di un regime sanzionatorio attenuato . Il CPB non si applica in presenza di perdite fiscali rilevanti, gravi violazioni, o se l’impresa ha debiti tributari iscritti a ruolo senza avere piani di rientro .

Il decreto legislativo 110/2024 (riordino della riscossione) modifica l’art. 12 del D.P.R. 602/1973, permettendo al contribuente di impugnare immediatamente una cartella di pagamento qualora la notifica irregolare possa arrecare pregiudizio (per esempio in presenza di operazioni societarie o finanziamenti in corso) . Questo consente alle società di cybersecurity, spesso esposte a investitori, di evitare conseguenze negative sul rating bancario o su contratti in corso.

Il decreto legislativo 33/2025 crea un Testo unico in materia di versamenti e di riscossione, entrato in vigore il 27 marzo 2025. Introduce un sistema unico di pagamento dei tributi (conguagli, contributi e premi) e nuovi limiti alla compensazione. La riforma mira a semplificare i versamenti e a ridurre le sovrapposizioni tra imposte nazionali e contributi previdenziali. Secondo la nota del Ministero, questo testo unico si coordina con i nuovi strumenti di definizione agevolata introdotti dalla legge di bilancio .

La Legge di bilancio 2026 ha varato la rottamazione‑quinquies (proseguendo la serie di “rottamazioni” avviate nel 2016). Il contribuente può estinguere i debiti iscritti a ruolo dal 2000 al 31 dicembre 2023 senza sanzioni né interessi, versando solo l’imposta e gli oneri di riscossione. La domanda deve essere presentata entro il 30 aprile 2026; il pagamento può avvenire in unica soluzione entro il 31 luglio 2026 o in un massimo di 54 rate bimestrali con interesse del 3 %. Il mancato pagamento della rata unica o di due rate comporta la perdita dei benefici . La presentazione dell’istanza sospende le procedure esecutive: l’agente non attiva nuovi pignoramenti e non segnala il contribuente come inadempiente .

Norme speciali per le prove digitali e la privacy

Le società di cybersecurity producono e trattano enormi quantità di dati digitali. Durante una verifica, l’Agenzia può acquisire file, log di sistema, hard disk e cloud storage. La giurisprudenza riconosce valore probatorio alle evidenze informatiche: la Cassazione 4600/2016 ha affermato che un floppy disk con una “contabilità parallela” costituisce prova extracontabile idonea a fondare l’accertamento quando le presunzioni sono gravi, precise e concordanti . La Cassazione 28520/2025 ha chiarito che nel pignoramento speciale ex art. 72‑bis D.P.R. 602/1973 la banca deve “congelare” non solo il saldo alla data di notifica ma anche le somme affluite nei successivi 60 giorni, rafforzando la tutela dell’erario .

La tutela della privacy è stata invece al centro dell’ordinanza Cassazione 2510/2026, successiva alla decisione della Corte europea dei diritti dell’uomo Ferrieri e Bonassisa c. Italia, 8 gennaio 2026. La Suprema Corte ha rimesso la causa in sede di merito, evidenziando che i poteri dell’Agenzia di acquisire dati bancari ai sensi degli artt. 32 e 51 D.P.R. 600/1973 e 633/1972 sono troppo ampi e non prevedono adeguate garanzie, violando la vita privata .

Altra pronuncia fondamentale è la sentenza 137/2025 della Corte costituzionale: la Corte ha stabilito che l’Agenzia non può chiedere al contribuente documenti che essa stessa può ricavare dalle proprie banche dati (per esempio fatture elettroniche) e che deve garantire il contraddittorio leale; la mancata allegazione dei documenti prodotti dall’ufficio impedisce di utilizzare la “preclusione alla difesa” . Questa decisione rinforza il principio di collaborazione e ragionevolezza e offre alle società un ulteriore argomento difensivo.

Infine, la Cassazione 582/2025 ha riaffermato la differenza tra evasione ed elusione: la presenza di strutture societarie artificiose e comportamenti economicamente irrazionali indica evasioni vere e proprie, soggette a sanzioni penali e fiscali, mentre l’elusione (applicazione abusiva delle norme) deve essere contestata con la procedura antielusiva ex art. 10‑bis L. 212/2000 . Per le società di cybersecurity, spesso organizzate in gruppi internazionali, è fondamentale progettare la compliance fiscale alla luce di queste pronunce.

Procedura passo‑passo dopo la notifica dell’atto

Ricevere un avviso di accertamento o un processo verbale di constatazione (PVC) non significa essere automaticamente colpevoli. La legge prevede un percorso preciso con tempi e diritti da rispettare. Di seguito uno schema di massima:

1. Arrivo del PVC o dell’avviso bonario – Gli organi verificatori (Guardia di Finanza, Agenzia) rilasciano il PVC contenente i rilievi e le irregolarità riscontrate. Con la riforma 2024, il contribuente deve ricevere un invito al contraddittorio e ha 60 giorni per presentare osservazioni .
2. Contraddittorio e difese preliminari – Entro il termine il contribuente può:
3. depositare memorie difensive, documenti, perizie e chiarimenti;
4. richiedere un incontro;
5. contestare l’inattendibilità delle presunzioni (ad es. spiegare bonifici da e verso clienti esteri, dimostrare l’esistenza di ricavi contabilizzati in altre società del gruppo);
6. eccepire l’irrilevanza di informazioni ricavate da banche dati se non pertinenti.
7. Notifica dell’avviso di accertamento** – L’avviso deve essere motivato e allegare i documenti richiamati ; se la notifica avviene senza aver rispettato il contraddittorio, l’atto è nullo. La notifica può avvenire via PEC (posta elettronica certificata) all’indirizzo del registro INI‑PEC o tramite messo notificatore.
8. Scelta tra ricorso, adesione o definizione agevolata – Dopo la notifica, esistono tre vie principali:
9. Accertamento con adesione: il contribuente può presentare istanza entro 30 giorni dalla notifica. L’ufficio ha 90 giorni per fissare l’incontro; la definizione comporta la riduzione delle sanzioni a 1/3 o 1/4 del minimo . Dal 2024 è possibile aderire anche al PVC, con riduzione a 1/6.
10. Ricorso alla giustizia tributaria: entro 60 giorni dalla notifica è possibile impugnare l’avviso avanti la Commissione tributaria provinciale. Il ricorso non sospende automaticamente la riscossione; occorre presentare istanza di sospensione in via cautelare. La riscossione è sospesa se la Commissione la concede.
11. Definizione agevolata (rottamazione quater o quinquies, definizione delle liti pendenti, conciliazione giudiziale, ravvedimento operoso): sono strumenti che consentono di pagare solo l’imposta senza sanzioni o con sconti significativi. Per esempio la rottamazione quinquies 2026 si applica ai carichi affidati fino al 2023 .
12. Eventuale avvio di riscossione – Se il contribuente non impugna né aderisce, l’avviso diventa definitivo e l’imposta è iscritta a ruolo. L’agente della riscossione può notificare cartelle o intimazioni di pagamento. Dal 2024 il contribuente può impugnare immediatamente la cartella se la notifica irregolare comporta pregiudizi . Inoltre, con la riforma 2025, i versamenti avvengono tramite canale unico con codice fiscale dell’ente e la compensazione è più rigida .
13. Pignoramenti e misure cautelari – In caso di mancato pagamento l’agente può iscrivere ipoteca su immobili o pignorare crediti (es. conti bancari). Per i conti correnti l’art. 72‑bis prevede che la banca debba trasferire al Fisco le somme presenti alla data di notifica e quelle maturate nei successivi 60 giorni . È possibile opporsi per vizi formali o per infondatezza del credito.

Termini sintetici

Difese e strategie legali

L’accertamento può essere contestato sotto diversi profili. I professionisti devono valutare l’atto, la procedura seguita e le prove. Di seguito le principali strategie difensive dal punto di vista del contribuente.

Verifica dei requisiti formali e del contraddittorio

Un atto privo di motivazione o notificato senza rispettare le norme sulla partecipazione del contribuente è annullabile. La verifica deve considerare:

• Motivazione: l’atto deve indicare fatti, ragioni e riferimenti normativi. Deve allegare o riprodurre le informazioni su cui si fonda . Molti accertamenti utilizzano liste di transazioni, estratti conto, contratti IT: se non sono allegati, la difesa può eccepire la nullità.
• Contraddittorio: la riforma 2024 impone l’invio di una bozza e il termine di 60 giorni . Atto senza contraddittorio è nullo salvo i casi di particolare urgenza (ad esempio pericolo per la riscossione) che devono essere motivati. In mancanza di un concreto pericolo, l’atto è da annullare.
• Notifica e termini: controllare la data di ricezione via PEC e la correttezza dell’indirizzo. L’omessa o irregolare notifica comporta la nullità dell’atto; se la notifica non è pervenuta al legale rappresentante, si può eccepire la mancata conoscenza.

Contestazione delle presunzioni e delle ricostruzioni induttive

Molti accertamenti partono da presunzioni. L’art. 39 consente la ricostruzione del reddito con presunzioni serie, precise e concordanti . La difesa può agire su tre fronti:

1. Dimostrare l’inattendibilità della base presuntiva: se l’Agenzia usa i movimenti bancari per ricavare ricavi, occorre dimostrare che i bonifici si riferiscono a rimborsi, finanziamenti soci, pass-through per pagamenti a fornitori. Per i fornitori cloud occorre mostrare contratti e fatture estere.
2. Evidenziare l’assenza di gravi indizi: la presunzione deve essere grave (probabilmente vera), precisa (non generica) e concordante (non contraddetta). Se la verifica si basa solo su medie di settore o su un file non autenticato, si può contestare l’assenza di concordanza.
3. Distinguere tra induttivo analitico e puro: l’accertamento induttivo “puro” è ammesso solo se manca la dichiarazione, la contabilità è assente o inattendibile, o il contribuente non risponde alle richieste . Se la società tiene regolarmente i registri e produce la documentazione, l’Agenzia non può ignorare i dati contabili.

Tutela della privacy e uso di dati digitali

Le imprese ICT devono essere pronte ad affrontare verifiche informatiche. È fondamentale:

• Controllare le modalità di acquisizione dei dati: la Cassazione 2510/2026 ha criticato l’uso indiscriminato delle indagini bancarie per violazione della vita privata . Gli avvocati possono invocare la giurisprudenza CEDU e chiedere l’esclusione di prove acquisite senza adeguate garanzie.
• Valutare la fonte dei file digitali: la Cassazione 4600/2016 ha ammesso l’uso di floppy disk con contabilità parallela come prova , ma solo se la provenienza è certa e le presunzioni sono gravi. Se l’Agenzia presenta file Excel o screenshot non sottoscritti, si può chiederne l’inutilizzabilità.
• Invocare la sentenza della Corte costituzionale 137/2025: se l’ufficio chiede documenti che già possiede (fatture elettroniche), la richiesta è illegittima e la mancata produzione non può essere sanzionata .

Strategie negoziali: adesione, conciliazione e concordato preventivo

Spesso conviene evitare il contenzioso prolungato e trovare un accordo. Gli strumenti principali sono:

• Accertamento con adesione: consente di definire le maggiori imposte con riduzioni delle sanzioni. Dal 2024 si può aderire anche al PVC, ottenendo il massimo sconto (1/6). È una procedura che prevede il contraddittorio presso l’ufficio; se ci si accorda sul quantum, l’atto non è più impugnabile.
• Conciliazione giudiziale: in pendenza di ricorso la Commissione può ratificare un accordo tra contribuente e Agenzia. Le sanzioni sono ulteriormente ridotte (fino a 1/3). È utile per contenziosi con margine di aleatorietà.
• Concordato preventivo biennale: per le imprese che applicano gli ISA. L’Agenzia calcola un reddito “standard” basato su parametri di settore e offre l’impegno a non fare accertamenti per due anni. L’accettazione comporta il divieto di deduzioni straordinarie e l’obbligo di versare le imposte concordate . Conviene solo se il reddito proposto è in linea con le previsioni e se l’impresa non prevede importanti flessioni.
• Definizioni agevolate (rottamazioni e sanatorie): periodicamente la legge di bilancio introduce rottamazioni che consentono di estinguere vecchi ruoli versando solo l’imposta (senza interessi né sanzioni). La rottamazione quinquies 2026 prevede rate fino a 54 mesi .

Ricorso giurisdizionale e contenzioso tributario

Se l’atto è infondato e non vi sono margini negoziali, il contribuente può ricorrere alla giustizia tributaria. La riforma del processo (D.Lgs. 36/2023) ha istituito giudici tributari professionali e un rito più veloce:

• Commissione tributaria provinciale: primo grado; si instaura con ricorso da depositare via PEC e notifica all’Agenzia. Il giudice può sospendere la riscossione.
• Commissione tributaria regionale: secondo grado; impugnazione entro 60 giorni dalla notifica della sentenza di primo grado.
• Corte di Cassazione: per violazioni di legge; l’Avv. Monardo, essendo cassazionista, è abilitato a patrocinare direttamente innanzi alla Suprema Corte.

Nelle cause riguardanti accertamenti induttivi o prove digitali si deve sviluppare una difesa tecnica che coinvolga periti informatici, fiscalisti e legali. Occorre spiegare l’operatività dell’azienda, dimostrare la correttezza della contabilità, contestare la mancanza di contraddittorio e far leva su sentenze di Cassazione e Corte costituzionale. Nei giudizi di Cassazione è cruciale far valere i principi elaborati dalle decisioni più recenti (privacy bancaria , preclusione all’esibizione di documenti , evasi rispetto ad evasione ).

Procedimenti di tutela contro la riscossione

Se l’atto diventa definitivo, può iniziare la fase esecutiva. È possibile però utilizzare strumenti di tutela quali:

• Sospensione giudiziale: si può chiedere alla Commissione tributaria la sospensione della riscossione dimostrando un danno grave e irreparabile; occorre depositare garanzia o polizza fideiussoria.
• Opposizione agli atti esecutivi: per impugnare cartelle, intimazioni, pignoramenti; la riforma 2024 ha ampliato i casi in cui la cartella è impugnabile immediatamente .
• Protezione del patrimonio: in caso di crisi, si può attivare la procedura di composizione della crisi da sovraindebitamento (Legge 3/2012) o un accordo di ristrutturazione dei debiti nel Codice della crisi d’impresa. L’Avv. Monardo, esperto negoziatore, può predisporre un piano che prevede la falcidia dei debiti tributari e la continuazione dell’attività.

Errori comuni da evitare e consigli pratici

Molti contribuenti peggiorano la propria posizione per mancanza di consapevolezza o per errori nella gestione del contraddittorio. Ecco alcuni errori frequenti:

• Ignorare l’invito al contraddittorio: la mancata presentazione di osservazioni fa perdere l’opportunità di spiegare la propria posizione e costringe l’ufficio a basarsi solo sugli elementi a disposizione. È sempre meglio inviare memorie e documentazione.
• Non rispondere ai questionari: l’art. 32 consente presunzioni sfavorevoli in caso di mancata risposta ; occorre rispondere in modo puntuale, anche se le domande sembrano invasive, facendo valere i propri diritti alla riservatezza.
• Trascurare i vizi formali: spesso gli avvisi presentano omissioni nella motivazione o non allegano gli allegati. Questi vizi vanno evidenziati già in sede di contraddittorio per poterli far valere in giudizio.
• Pagare senza valutare alternative: aderire subito per paura può essere costoso. È fondamentale analizzare se conviene il CPB, l’adesione o la rottamazione, comparando l’importo dovuto e le rate.
• Concentrare la difesa solo sugli aspetti contabili: nelle società di cybersecurity è cruciale spiegare il modello di business (ricavi da abbonamenti, servizi a canone, licenze software) e dimostrare l’origine dei flussi bancari, la natura dei dati digitali e l’allocazione dei costi di ricerca e sviluppo.

Approfondimento delle norme del D.P.R. 600/1973 e altri riferimenti

Per difendersi efficacemente occorre conoscere anche altri articoli del D.P.R. 600/1973 e delle norme correlate. Di seguito un’analisi di alcune disposizioni spesso trascurate ma rilevanti:

• Art. 33 – Obbligo di conservazione delle scritture contabili: i soggetti obbligati alla tenuta della contabilità devono conservarla per dieci anni e metterla a disposizione dell’ufficio. Nelle aziende digitali ciò include supporti elettronici, database e backup. L’art. 33 prevede inoltre che la mancata esibizione costituisca violazione e consente l’accertamento basato su presunzioni. Le società di cybersecurity devono predisporre procedure di backup e garantire la leggibilità dei file in caso di verifica.
• Art. 37 – Redditi prodotti all’estero: prevede la tassazione in Italia dei redditi di soggetti residenti prodotti attraverso stabili organizzazioni all’estero o società collegate. Molte aziende IT operano tramite branch in paesi a fiscalità agevolata; occorre dimostrare l’effettività dell’attività estera per evitare la contestazione di stabile organizzazione occulta. La normativa sulla stabile organizzazione è oggetto di attenta verifica e può essere contestata con le convenzioni contro le doppie imposizioni.
• Art. 38 – Accertamento sintetico e redditometro: consente all’Agenzia di ricostruire il reddito delle persone fisiche partendo dalle spese sostenute per consumi, investimenti o incrementi patrimoniali. Questo strumento, noto come “redditometro”, può essere utilizzato anche per i soci e gli amministratori di società di cybersecurity. Occorre dimostrare la provenienza lecita dei fondi impiegati per beni di lusso (auto sportive, immobili, yacht) o investimenti in start‑up.
• Art. 41‑bis – Adeguamento dei bilanci: consente agli uffici di rettificare i valori di bilancio, in particolare per la valutazione delle rimanenze, delle immobilizzazioni immateriali e dei fondi rischi. Le aziende IT spesso capitalizzano costi di sviluppo software; l’Agenzia può contestare la corretta imputazione temporale e la valorizzazione degli asset immateriali (brevetti, know‑how). È consigliabile predisporre perizie e documentazione tecnica che dimostri la congruità del valore attribuito.
• D.Lgs. 218/1997 – Accertamento con adesione: oltre alle regole generali, il decreto elenca i diritti e le garanzie del contribuente. L’istanza di adesione sospende i termini per l’impugnazione; l’accordo prevede la riduzione delle sanzioni; il contribuente può farsi assistere da professionisti; l’atto definito non è soggetto a revoca salvo dolo o errore essenziale. Comprendere le dinamiche dell’adesione aiuta a negoziare un accordo vantaggioso.
• D.P.R. 602/1973 – Riscossione: disciplina la formazione del ruolo, la cartella esattoriale, le iscrizioni a ruolo straordinario, i pignoramenti e le ipoteche. L’art. 12 (modificato dal D.Lgs. 110/2024) permette di impugnare la cartella senza attendere l’atto successivo se la notifica è pregiudizievole . Gli artt. 50 e 72‑bis regolano l’avviso di intimazione e il pignoramento presso terzi. Conoscere questi articoli consente di impugnare tempestivamente le misure esecutive e di chiedere la sospensione.
• D.Lgs. 74/2000 – Reati in materia di imposte sui redditi e sull’IVA: prevede i reati di dichiarazione fraudolenta, emissione di fatture per operazioni inesistenti, occultamento o distruzione di documenti contabili, omessa dichiarazione e indebita compensazione. Le soglie di punibilità sono rilevanti: ad esempio l’omessa dichiarazione è punibile se l’imposta evasa supera 50.000 €; la dichiarazione fraudolenta per utilizzo di fatture false è punita con reclusione da 1,5 a 6 anni. Le società di cybersecurity devono prestare particolare attenzione all’uso di fatture per servizi digitali; le false consulenze informatiche possono integrare il reato se destinate a ridurre il reddito imponibile.
• Regolamento UE n. 2016/679 (GDPR) e Codice privacy: sebbene non siano norme tributarie, disciplinano il trattamento dei dati personali. Durante le verifiche è importante che l’organo di controllo rispetti i principi di minimizzazione e finalità; il contribuente può opporsi al trattamento eccedente e richiedere la protezione dei dati dei propri clienti. La Corte di cassazione ha iniziato a richiamare la privacy come parametro di legittimità delle indagini bancarie .

Responsabilità amministrativa e penale degli amministratori

Gli amministratori delle società possono incorrere non solo in sanzioni tributarie ma anche in responsabilità amministrativa e penale. Alcuni punti:

• Responsabilità amministrativa ex D.Lgs. 231/2001: le imprese sono responsabili per i reati commessi nell’interesse o a vantaggio della società, inclusi i reati fiscali introdotti nel 2020. Per evitare la sanzione pecuniaria e l’interdizione, occorre adottare un modello di organizzazione, gestione e controllo. Le società di cybersecurity, che operano con processi digitali complessi, devono implementare procedure per prevenire l’uso improprio dei crediti d’imposta e la frode IVA.
• Responsabilità penale ex D.Lgs. 74/2000: il rappresentante legale può essere imputato per i reati sopra citati. La difesa penale deve coordinarsi con la strategia tributaria; ad esempio, il pagamento del debito prima dell’apertura del dibattimento può estinguere il reato (per l’omessa dichiarazione) o costituire attenuante. È cruciale agire tempestivamente.
• Responsabilità civile verso soci e creditori: se l’amministratore non reagisce a un accertamento, causando danni patrimoniali, può essere chiamato a rispondere. È dovere fiduciario informare il consiglio di amministrazione e gli azionisti e intraprendere azioni per minimizzare l’esborso fiscale.

Strumenti di compliance e audit per le società di cybersecurity

La prevenzione è la miglior difesa. Le aziende dovrebbero adottare sistemi di compliance per ridurre il rischio di accertamenti e sanzioni:

• Mappe dei processi e delle transazioni: documentare i flussi di fatturazione, la catena di fornitura (vendor di software, cloud provider), l’origine dei ricavi (on‑premise, licenze SaaS, servizi di penetration testing). Ciò consente di spiegare in modo trasparente eventuali variazioni dei margini e di contestare ricostruzioni errate.
• Politiche di pricing e transfer pricing: se il gruppo opera su scala internazionale, occorre predisporre documentazione di transfer pricing per giustificare le transazioni con società collegate. Molti accertamenti contestano prezzi troppo bassi o alti praticati a filiali estere; una politica coerente e la predisposizione del Master file e del Country file evitano contestazioni.
• Gestione dei crediti d’imposta: per le aziende che beneficiano dei crediti per investimenti in R&S, formazione 4.0, beni strumentali, è necessario conservare la documentazione tecnica (relazioni, brevetti, contratti di ricerca). Se il credito viene utilizzato in compensazione, occorre monitorare i termini di recupero (5/8 anni) e sanare tempestivamente eventuali irregolarità.
• Conservazione dei log e dei dati digitali: in vista di controlli sulla cybersecurity, è importante conservare log di accesso, report di audit e backup. Questo non solo aiuta a dimostrare la legittimità dei servizi forniti ma anche a documentare l’utilizzo di software proprietari, le licenze e i ricavi derivanti da abbonamenti.
• Comunicazione interna e formazione: il personale amministrativo e tecnico deve essere formato sulle normative fiscali e sui rischi di fatturazione. L’adozione di procedure di approvazione delle fatture (ad esempio, un workflow digitalizzato) riduce il rischio di erronee registrazioni.
• Audit periodici: l’impresa dovrebbe sottoporsi a verifiche interne (o affidarsi a professionisti esterni) per individuare eventuali anomalie e sanarle spontaneamente, sfruttando il ravvedimento operoso. Ciò consente di pagare sanzioni ridotte e di evitare l’accertamento.

Ruolo dei professionisti: avvocato, commercialista e perito informatico

La difesa contro un accertamento tributario richiede un team multidisciplinare:

• Avvocato tributarista: valuta i profili giuridici, verifica i vizi formali e gestisce il contenzioso. Nel caso dell’Avv. Monardo, l’esperienza in Cassazione permette di curare ogni grado di giudizio.
• Commercialista: analizza gli aspetti contabili, ricalcola il reddito imponibile, predispone perizie economiche e stima l’impatto delle sanzioni. È essenziale nella fase di adesione o conciliazione per proporre importi congrui.
• Perito informatico e data analyst: nelle aziende di cybersecurity, molti dati sono digitali. Il perito certifica l’autenticità dei log, spiega la natura dei flussi, dimostra la congruità dei volumi di traffico e la legittimità delle entrate digitali. Può contrastare l’uso di file di provenienza incerta da parte dell’Amministrazione, richiamando la giurisprudenza in materia di prove digitali .

La sinergia tra queste figure consente di costruire una difesa robusta, riducendo il rischio di sanzioni e proteggendo il patrimonio aziendale.

Riforme future e scenari 2026‑2027

Il panorama normativo è in costante evoluzione. Nei prossimi anni è attesa una codificazione della disciplina IVA: il D.Lgs. 13/2024 prevede l’adozione di un testo unico dell’IVA entro il 1 gennaio 2027 . Questo potrà incidere sulla gestione dell’imposta per i servizi digitali, con modifiche alle aliquote e alla territorialità.

La digitalizzazione dell’Agenzia delle Entrate porterà all’uso massivo dell’intelligenza artificiale per selezionare i contribuenti da controllare. Le società di cybersecurity devono prepararsi a un ambiente di controllo più sofisticato, in cui algoritmi incroceranno fatture elettroniche, movimenti bancari, dati doganali e informazioni sui clienti. La compliance e la trasparenza saranno quindi determinanti per evitare indagini invasive.

Sono allo studio anche nuovi strumenti di compliance collaborativa ispirati al modello “cooperative compliance” di alcuni paesi OCSE, in cui le imprese di grandi dimensioni stipulano accordi con l’amministrazione per una gestione preventiva delle questioni fiscali. Ciò potrebbe offrire alle società di cybersecurity un canale di dialogo continuo per risolvere dubbi interpretativi sulle agevolazioni per ricerca e innovazione.

Tabelle di sintesi

Di seguito alcune tabelle di riepilogo per facilitare la consultazione delle norme, dei termini e degli strumenti difensivi.

Principali norme di riferimento e sintesi

Differenze tra accertamento analitico‑induttivo e induttivo puro

Statuto dei diritti del contribuente: tutela e garanzie

Il Statuto dei diritti del contribuente (Legge 212/2000) è spesso definito la “carta costituzionale del contribuente” perché racchiude principi di civiltà giuridica che bilanciano il potere impositivo dello Stato. Per le società di cybersecurity, conoscere questi diritti è fondamentale perché i controlli spesso avvengono su dati sensibili e tecnologie avanzate.

Principali articoli dello Statuto

• Art. 5 – Partecipazione del contribuente al procedimento: stabilisce che il contribuente ha diritto a prendere visione degli atti del procedimento e a presentare memorie e documenti. Ciò si traduce nella possibilità di accedere al fascicolo, conoscere le prove a carico e difendersi efficacemente.
• Art. 6 – Informazione al contribuente: impone all’Amministrazione di fornire informazioni chiare e tempestive sulle obbligazioni fiscali. Le società di cybersecurity possono chiedere chiarimenti sulla corretta applicazione delle agevolazioni per innovazione, su come compilare il quadro RU dei crediti d’imposta e sugli adempimenti per l’espatrio dei dati.
• Art. 7 – Motivazione e allegazione degli atti: come ricordato, ogni atto impositivo deve essere motivato e contenere gli atti cui si riferisce . Questo articolo impedisce all’Amministrazione di basarsi su prove segrete: se l’accertamento menziona un file o un report, deve allegarlo integralmente.
• Art. 10 – Tutela dell’affidamento e della buona fede: prevede che i rapporti tra contribuente e fisco debbano essere improntati a collaborazione e che non si possa applicare retroattivamente un’interpretazione sfavorevole. Le imprese possono quindi invocare la buona fede se hanno applicato un regime sulla base di indicazioni ufficiali (circolari, risoluzioni) e successivamente l’interpretazione è cambiata.
• Art. 12 – Diritti del contribuente in caso di accessi, ispezioni e verifiche: stabilisce che durante le verifiche l’organo accertatore deve esibire l’autorizzazione, compilare un verbale giornaliero, rispettare i diritti del difensore e fornire copia dei documenti prelevati. Il contribuente può farsi assistere da un consulente e chiedere la prosecuzione delle attività presso gli uffici dell’Amministrazione per non intralciare l’attività aziendale. Questo articolo è prezioso per le aziende IT in quanto consente di proteggere dati sensibili (ad esempio i codici sorgente) durante l’accesso.
• Art. 13 – Autotutela: consente all’Amministrazione di annullare o revocare i propri atti illegittimi anche in assenza di ricorso. Il contribuente può sempre presentare un’istanza in autotutela per chiedere la correzione di errori materiali o vizi procedurali. Lo strumento si rivela utile per evitare contenziosi quando l’errore è evidente (ad esempio calcolo errato dell’imposta o mancata considerazione di un costo).

Applicazione pratica per le aziende

Le imprese dovrebbero sfruttare lo Statuto in modo proattivo: partecipare ai procedimenti, richiedere copia degli atti, eccepire la mancanza di motivazione, invocare la buona fede se hanno seguito prassi consigliate dall’Agenzia (es. circolari sulla classificazione dei servizi IT), pretendere il rispetto dei diritti durante le ispezioni e presentare istanze di autotutela quando emergono errori. La conoscenza dello Statuto consente di prevenire abusi e rafforza la posizione del contribuente in sede di contraddittorio e in giudizio.

Procedura di verifica e accesso: diritti e doveri

Quando l’Agenzia delle Entrate o la Guardia di Finanza decide di svolgere un controllo presso la sede dell’azienda, si avvia una procedura formalizzata che deve rispettare principi di legalità e proporzionalità. È importante conoscere le fasi e le cautele da adottare:

1. Nomina del responsabile e preparazione: il management deve designare in anticipo un responsabile interno (tax manager o CFO) e un responsabile IT che affiancheranno i verificatori. Queste figure devono conoscere i flussi informatici e la struttura contabile per rispondere alle domande e fornire supporto nella duplicazione dei file.
2. Esibizione dell’autorizzazione: gli agenti devono esibire l’ordine di servizio e specificare l’oggetto della verifica. Se mancano questi documenti, l’accesso è illegittimo e può essere rifiutato.
3. Redazione del verbale giornaliero: ogni giorno di permanenza deve essere verbalizzato. Il contribuente può chiedere la sospensione temporanea per esigenze aziendali e far inserire le proprie dichiarazioni nel verbale.
4. Tutela dei dati riservati: le aziende di cybersecurity gestiscono dati sensibili di terzi; è necessario segnalare quali documenti non possono essere copiati o devono essere anonimizzati (ad esempio database di vulnerabilità). La legge consente di richiedere che i supporti siano sigillati e custoditi in modo sicuro.
5. Facoltà di trasferire la verifica in ufficio: qualora il prolungarsi dell’accesso ostacoli l’attività aziendale, il contribuente può chiedere di proseguire l’esame dei documenti presso gli uffici dell’Amministrazione (art. 12 Statuto). Ciò è particolarmente utile per le start‑up con infrastrutture delicate.
6. Intervento del difensore: l’azienda ha diritto di farsi assistere da un professionista di fiducia durante la verifica. Il legale può tutelare la riservatezza, chiedere chiarimenti, far verbalizzare osservazioni e salvaguardare i diritti procedurali.
7. Accesso al fascicolo: al termine della verifica, il contribuente può richiedere copia del fascicolo e dei documenti utilizzati dall’ufficio, esercitando il diritto di accesso agli atti. Ciò consente di preparare una difesa efficace.

Digitalizzazione e intelligenza artificiale nelle verifiche fiscali

La trasformazione digitale della Pubblica Amministrazione interessa anche il fisco. L’Agenzia delle Entrate utilizza algoritmi di risk management per individuare i contribuenti a rischio evasione. I parametri considerati possono includere l’analisi dei big data (fatture elettroniche, corrispettivi telematici, flussi bancari, partecipazioni societarie) e l’uso di machine learning per identificare pattern anomali. Per le società di cybersecurity ciò significa:

• Tracciabilità completa: ogni operazione è registrata e incrociata; è essenziale che la contabilità corrisponda alle transazioni reali. Le discrepanze vengono rilevate automaticamente.
• Analisi predittiva: il sistema valuta la coerenza tra i ricavi dichiarati e le informazioni del settore. Se una società ha margini troppo bassi rispetto ai concorrenti, può essere selezionata per controllo. Occorre predisporre documentazione che giustifichi eventuali scostamenti (investimenti in ricerca, campagne di marketing, politiche di prezzo aggressive).
• Cooperazione con l’Agenzia: la digitalizzazione apre la strada alla cooperative compliance: le imprese possono inviare report periodici, condividere dati con l’Amministrazione e ottenere certezza fiscale. In Italia questo modello è ancora in fase pilota, ma le grandi società possono manifestare interesse e testarlo in anticipo.
• Riservatezza e cyber‑security: paradossalmente, le società che offrono sicurezza informatica devono essere vigilanti sulla protezione dei propri dati in occasione dei controlli. È importante implementare misure tecniche (critto‑grafia, accessi profilati) e giuridiche (accordi di riservatezza) per evitare la diffusione di segreti aziendali.

Implicazioni internazionali e cooperazione fiscale

L’attività di cybersecurity è spesso globale: le imprese forniscono servizi a clienti esteri, utilizzano piattaforme cloud in altre giurisdizioni e partecipano a progetti internazionali. Questo comporta l’applicazione di norme internazionali:

• Convenzioni contro le doppie imposizioni: l’Italia ha stipulato trattati con oltre 100 paesi; questi accordi prevedono che i redditi siano tassati nel paese di residenza salvo esistenza di una stabile organizzazione. Le società devono analizzare le clausole relative ai servizi digitali e alla determinazione dei profitti attributi alla sede estera.
• Scambio automatico di informazioni (Common Reporting Standard – CRS): le autorità fiscali di diversi paesi si scambiano informazioni su conti finanziari e partecipazioni. Pertanto l’Agenzia può ricevere dati sugli investimenti esteri dei soci o sui conti correnti esteri della società. La mancata dichiarazione nel quadro RW può essere sanzionata.
• Pillar 2 e tassazione minima globale: a partire dal 2024, le multinazionali con fatturato superiore a 750 milioni di euro sono soggette all’imposta minima globale del 15 % (Pillar 2 OCSE). Sebbene molte società di cybersecurity non superino questa soglia, l’effetto di queste norme si riflette in un maggiore scambio di informazioni e controlli sulla corretta allocazione dei profitti.
• Nuova Direttiva UE sulla tassazione dei servizi digitali: l’Unione Europea sta lavorando ad una direttiva per tassare le piattaforme digitali e i servizi di cloud computing. Ciò potrebbe ridisegnare la territorialità dell’IVA e dell’imposta sui servizi digitali (digital service tax), incidendo sul business delle aziende IT.

Numeri e statistiche del settore e degli accertamenti

Secondo i dati pubblici del Dipartimento delle Finanze, nel 2024 il comparto dei servizi di informazione e comunicazione ha registrato oltre 80.000 imprese attive in Italia, con un fatturato complessivo superiore a 70 miliardi di euro. Le aziende di cybersecurity rappresentano una quota minoritaria ma in rapida crescita. Il rapporto annuale dell’Agenzia delle Entrate indica che nel triennio 2022‑2024 gli accertamenti su imprese IT sono aumentati del 25 %, con particolare attenzione alle startup che beneficiano di crediti per ricerca e innovazione.

Gli accertamenti che interessano le imprese informatiche hanno mostrato una evasione media presunta di circa 200.000 € per società, con scostamenti massimi rilevati nei casi di fatturazioni infragruppo e uso improprio di società estere. Anche se i dati precisi per il 2025 non sono ancora disponibili, la tendenza rimane crescente. Ciò conferma la necessità di mettere in atto strategie preventive e difensive adeguate.

Riepilogo delle definizioni agevolate

| Strumento | Periodo/legge | Carichi agevolabili | Beneficio | |—|—|—| | Rottamazione‑quater | Legge di bilancio 2023 | Carichi affidati fino al 30 giugno 2022 | Pagamento di imposta e aggio; esonero da sanzioni e interessi. | | Rottamazione‑quinquies | Legge di bilancio 2026 | Carichi 2000–2023 | Pagamento in unica soluzione o in 54 rate; sospensione delle procedure esecutive . | | Definizione liti pendenti | Legge 197/2022 e successive | Controversie tributarie pendenti al 1 gennaio 2023 | Riduzione fino al 90 % del tributo in base al grado di giudizio. | | Concordato preventivo biennale (CPB) | D.Lgs. 13/2024 | Imprese ISA senza gravi violazioni | Predeterminazione del reddito per due anni, preclusione agli accertamenti ordinari. | | Accertamento con adesione ai PVC | D.Lgs. 13/2024 | Irregolarità contestate in un processo verbale di constatazione | Sanzioni ridotte a 1/6 del minimo . |

Domande e risposte frequenti (FAQ)

1. Cosa devo fare appena ricevo un invito al contraddittorio? – Leggere con attenzione i rilievi contestati; consultare un professionista; raccogliere documenti e memorie. Presentare le osservazioni entro 60 giorni .
2. Se non rispondo al questionario dell’Agenzia rischio sanzioni? – L’art. 32 D.P.R. 600/1973 prevede che il mancato o incompleto riscontro consenta all’ufficio di emettere accertamento basato su presunzioni . Non sono previste sanzioni automatiche, ma la posizione si aggrava.
3. È obbligatorio partecipare al contraddittorio? – Non è obbligatorio ma altamente consigliato. La riforma 2024 rende nullo l’atto emesso senza contraddittorio, salvo casi di urgenza. Partecipando si possono correggere errori e ridurre il debito.
4. È vero che l’Agenzia può accedere ai nostri dati bancari senza autorizzazione? – L’art. 32 consente indagini bancarie. Tuttavia la Cassazione 2510/2026 ha criticato la mancanza di garanzie . Un’eventuale acquisizione indiscriminata può essere contestata.
5. Se la notifica dell’avviso di accertamento contiene errori formali, come posso difendermi? – Si può presentare ricorso per nullità. Gli errori più frequenti sono la mancanza di firma, la notifica a un indirizzo errato, la mancanza di motivazione .
6. Come funziona l’accertamento induttivo per una startup di cybersecurity? – L’ufficio può stimare i ricavi partendo da indicatori come spese per hardware/software, numero di dipendenti, flussi bancari. Occorre dimostrare l’origine dei fondi (ad esempio investimenti di venture capital) e la reale struttura dei ricavi.
7. Posso aderire all’accertamento e poi impugnarlo? – No. L’accertamento con adesione produce un atto definitorio che non è impugnabile . È importante valutare attentamente prima di firmare.
8. Quali vantaggi offre il concordato preventivo biennale? – Blocca gli accertamenti ordinari per due anni e garantisce la certezza del carico fiscale . Tuttavia vincola a un reddito predeterminato e non consente deduzioni straordinarie.
9. Cos’è la rottamazione‑quinquies e chi può aderire? – È una definizione agevolata dei debiti iscritti a ruolo tra il 2000 e il 2023: si paga solo l’imposta e l’aggio, senza sanzioni né interessi . Possono aderire persone fisiche e giuridiche; occorre presentare domanda entro il 30 aprile 2026.
10. Se ho un contenzioso pendente posso aderire alla rottamazione? – Sì, è possibile definire il carico anche se vi è un ricorso, ma occorre rinunciare alla lite. È importante valutare se il contenzioso ha buone probabilità di vittoria.
11. Come posso proteggere i miei dati sensibili durante una verifica? – Comunicare all’organo di controllo i limiti di accesso ai dati personali; far verbalizzare ogni copia acquisita; chiedere la cifratura e la custodia dei supporti; invocare le garanzie della giurisprudenza (Cass. 2510/2026 e Corte cost. 137/2025).
12. In caso di accertamento su crediti d’imposta R&S, cosa devo sapere? – Il nuovo art. 38‑bis distingue i crediti non spettanti da quelli inesistenti, con termini e sanzioni differenti . Occorre conservare la documentazione tecnica e le certificazioni; in caso di errore si può evitare sanzioni sanando l’irregolarità.
13. Cosa succede se la società non paga le imposte dopo l’accertamento? – L’imposta viene iscritta a ruolo; l’agente procede con pignoramenti e ipoteche. Con la riforma 2025, i versamenti sono effettuati tramite canale unico, con minori possibilità di compensazione .
14. È possibile rateizzare il debito derivante da un accertamento? – Sì. Dopo la formazione del ruolo si può chiedere rateizzazione all’agente della riscossione fino a un massimo di 72 rate (120 in caso di comprovate difficoltà). La rottamazione quinquies consente fino a 54 rate bimestrali .
15. Quali sono i rischi penali per l’amministratore? – In caso di reati fiscali (omessa dichiarazione, dichiarazione fraudolenta, frode IVA) l’amministratore può essere denunciato. È fondamentale esaminare i profili penali e ricorrere a strumenti deflattivi per ridurre l’evaso sotto le soglie di punibilità.
16. In quanto tempo si conclude un processo tributario? – In media 2–3 anni in primo grado e ulteriori 2 anni in appello. Le recenti riforme intendono ridurre i tempi attraverso l’informatizzazione e il potenziamento dei giudici professionali (D.Lgs. 36/2023).
17. Cosa succede se l’Agenzia non allega i documenti citati? – Secondo l’art. 7 dello Statuto e la Corte cost. 137/2025, l’atto è nullo se non allega gli atti su cui si fonda . La difesa può chiedere l’annullamento.
18. È possibile concordare un pagamento ridotto durante il contraddittorio? – Sì. L’ufficio può proporre riduzioni; in alcuni casi la definizione avviene con importi inferiori grazie alla deduzione di costi non considerati o all’applicazione di sanzioni minime. È importante presentare una proposta motivata.
19. Il versamento di acconti interrompe i termini per il ricorso? – No. Il pagamento parziale non preclude l’impugnazione né sospende i termini. Occorre tuttavia verificare se si è formalizzata un’adesione che impedirebbe di proseguire.
20. Come si calcola la convenienza tra adesione e ricorso? – Bisogna confrontare l’imposta, gli interessi e le sanzioni in caso di soccombenza con gli sconti ottenibili tramite adesione. Spesso conviene aderire per cifre contenute, mentre per importi elevati con questioni di principio è opportuno ricorrere.
21. Quali sono le conseguenze della mancata presentazione della dichiarazione annuale? – L’omessa dichiarazione comporta l’accertamento induttivo puro, con presunzione di reddito sulla base di qualsiasi elemento disponibile . Inoltre si configurano sanzioni amministrative e, se l’imposta evasa supera 50.000 €, anche il reato di omessa dichiarazione ex art. 5 D.Lgs. 74/2000.
22. La mia azienda è in perdita: posso comunque essere oggetto di accertamento? – Sì. L’Agenzia può contestare l’inattendibilità delle perdite e procedere a un accertamento analitico-induttivo, rettificando i costi o eliminando perdite inesistenti. Le perdite persistenti possono far perdere l’accesso al concordato preventivo biennale .
23. Posso usufruire contemporaneamente della rottamazione e dell’accertamento con adesione? – Sì, ma su partite diverse. La rottamazione riguarda i ruoli già affidati all’agente della riscossione, mentre l’adesione definisce un nuovo accertamento. Non è possibile rottamare somme già definite in adesione perché l’atto è definitivo e inopponibile .
24. Se l’avviso di accertamento si basa su dati esteri (ad esempio fornitori cloud statunitensi), come posso difendermi? – È necessario fornire la contrattualistica internazionale, le prove di avvenuta prestazione e le certificazioni fiscali (es. modello W‑8BEN per i fornitori USA). Occorre invocare le convenzioni contro le doppie imposizioni per evitare la tassazione dei ricavi già assoggettati all’estero.
25. Le criptovalute detenute dalla società possono essere oggetto di verifica? – Sì. L’Agenzia delle Entrate considera le criptovalute come attività finanziarie estere e richiede l’inserimento nel quadro RW. In caso contrario può contestare l’omessa dichiarazione di attività estere e tassare le plusvalenze. È importante conservare estratti dei wallet e le prove delle transazioni.
26. Che differenza c’è tra ravvedimento operoso e definizione agevolata? – Il ravvedimento operoso è una regolarizzazione spontanea prima dell’avvio dell’accertamento: il contribuente paga imposta e sanzioni ridotte in proporzione al ritardo. La definizione agevolata (rottamazione o sanatoria) è disposta per legge e consente di versare solo l’imposta e l’aggio per carichi già iscritti a ruolo .
27. Le spese di ricerca e sviluppo software sono tutte deducibili? – Le spese per la creazione di nuovi programmi informatici possono essere capitalizzate come immobilizzazioni immateriali se generano benefici futuri. Tuttavia l’Agenzia può contestare la deducibilità immediata o la durata dell’ammortamento. È consigliabile predisporre una relazione tecnica che descriva il progetto e quantifichi i costi direttamente imputabili.
28. È possibile negoziare un piano di rientro con l’agente della riscossione senza garanzie? – Per importi inferiori a 120.000 € è possibile ottenere la rateazione ordinaria senza fideiussione. Per somme superiori, l’Agente può richiedere garanzia bancaria o assicurativa, salvo nei casi di particolare difficoltà dimostrata. La rottamazione quinquies prevede rate fino a 54 mesi senza necessità di garanzia .
29. Cosa succede se l’Agenzia commette errori nella quantificazione del credito IVA? – L’errore può essere corretto mediante autotutela. Il contribuente può inviare istanza di annullamento in via di autotutela allegando la documentazione; l’ufficio può annullare o correggere l’atto anche d’ufficio. È opportuno però presentare ricorso nei termini per non perdere la possibilità di far valere i propri diritti.
30. Quali sono i tempi di prescrizione per la notifica degli atti di accertamento? – Per l’IRPEF/IRES l’accertamento deve essere notificato entro il 31 dicembre del quinto anno successivo a quello della dichiarazione (ottavo anno in caso di omissione). Per l’IVA si applicano termini analoghi. Le riforme non hanno modificato questi termini, salvo per i crediti d’imposta recuperati con l’art. 38‑bis .

Simulazioni pratiche

Per comprendere meglio l’impatto di un accertamento e le possibili strategie di difesa, consideriamo tre casi ipotetici (i nomi sono di fantasia) che riflettono situazioni frequenti nel settore della cybersecurity. Le cifre sono orientative e servono a illustrare i meccanismi, non rappresentano consigli fiscali.

Simulazione 1 – CyberSecure S.r.l. e l’accertamento induttivo

Scenario: CyberSecurexxxx S.r.l. è una PMI che fornisce software di monitoraggio delle reti. Nel 2024 riceve un PVC nel quale vengono contestati 2 milioni di euro di ricavi non dichiarati. L’Agenzia utilizza come base i movimenti bancari (4 milioni di incassi) deducendo costi pari a 2 milioni e applica un margine del 20 %. La società ha però ricevuto 1 milione di euro di finanziamento da un venture capital, registrato come aumento di capitale.

Ricostruzione dell’ufficio:

• Incassi bancari: 4 milioni
• Costi bancari dedotti: 2 milioni
• Reddito presunto: 4 – 2 = 2 milioni
• Margine di profitto applicato: 20 %
• Reddito accertato: 400.000 €
• Maggiori imposte (IRES 24 % + IRAP 3 %): circa 108.000 €
• Sanzioni: 100 % dell’imposta dovuta = 108.000 €

Difesa: la società dimostra che 1 milione di euro deriva da sottoscrizione di capitale (non imponibile) e che 500.000 € sono rimborsi spese per progetti europei. Deduce costi non considerati per 300.000 €. Il reddito reale si riduce a 600.000 € (4 – 1 – 0,5 – 2 – 0,3 = 0,2 milioni; margine 20 % → 120.000 €). Tramite l’adesione al PVC (sanzione ridotta 1/6) paga un’imposta di circa 30.000 € e una sanzione di 5.000 €. Risparmia oltre 80.000 €.

Simulazione 2 – CryptoShield S.p.A. e l’uso indebito di crediti d’imposta

Scenario: CryptoShieldxxxx sviluppa software di crittografia ed ha utilizzato in compensazione un credito d’imposta per investimenti in R&S pari a 700.000 € nel 2022. Nel 2025 l’Agenzia notifica un atto di recupero ex art. 38‑bis ritenendo che parte del credito (200.000 €) sia “inesistente” perché le attività non sono qualificabili come ricerca. Il termine di notifica è rispettato (entro 8 anni).

Sanzioni previste dalla nuova norma: 70 % del credito inesistente (140.000 €), raddoppiabile al 140 % se la condotta è fraudolenta ; recupero dell’imposta non versata (200.000 €) e interessi. CryptoShield contesta la qualificazione: produce perizie e relazioni tecniche. L’Agenzia, dopo il contraddittorio, riconosce 100.000 € di credito spettante. La società concorda di restituire 100.000 € e paga sanzioni pari a 70.000 € (70 % di 100.000). Grazie all’adesione, ottiene la riduzione delle sanzioni a 1/6 (11.666 €).

Simulazione 3 – NetDefense S.r.l. e il pignoramento del conto corrente

Scenario: NetDefensexxxx non paga un avviso definitivo di 300.000 € emesso nel 2023. A gennaio 2025 l’agente della riscossione notifica il pignoramento ex art. 72‑bis sul conto corrente. Il saldo al momento della notifica è 200.000 €. Nei due mesi successivi la società incassa altri 150.000 € per contratti in corso. La banca deve versare all’Erario 350.000 €, lasciando la società senza liquidità .

Azioni della difesa: l’azienda contesta la proporzione del pignoramento, invoca l’esenzione per somme necessarie a pagare i dipendenti e i fornitori strategici, e presenta istanza di rateizzazione. La Commissione concede la sospensione parziale e autorizza il prelievo solo di 250.000 €, permettendo di continuare l’attività. Contemporaneamente la società aderisce alla rottamazione quater e riduce il debito residuo.

Simulazione 4 – SecureNet Limited e la contestazione della stabile organizzazione estera

Scenario: SecureNetxxxx Limited, con sede legale a Londra, opera in Italia tramite una branch che fornisce servizi di penetration testing a clienti pubblici e privati. La società fattura ai clienti italiani dalla sede inglese e dichiara i redditi nel Regno Unito. Nel 2025 l’Agenzia emette un avviso di accertamento contestando l’esistenza di una stabile organizzazione in Italia: la branch avrebbe autonomia decisionale, personale dedicato e un centro di affari effettivo a Milano. L’ufficio riqualifica i redditi come prodotti in Italia ex art. 37 D.P.R. 600/1973 e chiede imposte per 1,5 milioni di euro oltre sanzioni.

Difesa: SecureNet dimostra che il personale in Italia svolge solo funzioni ausiliarie (marketing e supporto tecnico), che i contratti sono negoziati e firmati a Londra, che i server e gli strumenti di analisi sono situati nel Regno Unito. Vengono prodotti contratti di coworking, contratti di server farm e registri delle riunioni. Il contenzioso fa emergere lacune nella motivazione dell’avviso (l’ufficio non aveva allegato i contratti su cui si basava la contestazione), così il giudice annulla l’atto per violazione dell’art. 7 dello Statuto e mancanza di contraddittorio. La società decide comunque di aprire una stabile organizzazione dichiarando i redditi in Italia per il futuro, evitando ulteriori contestazioni.

Simulazione 5 – DataShield S.r.l. e la frode con fatture false

Scenario: DataShieldxxxx è una società di consulenza informatica che, per ridurre la base imponibile, registra fatture per servizi di “consulenza strategica” provenienti da società di comodo in Romania. L’Agenzia avvia un’indagine incrociando i dati IVA e scoprendo che i fornitori non hanno personale e non hanno versato l’IVA. Emette un avviso di accertamento con recupero di 800.000 € di costi fittizi e sanzioni del 100 %. Avvia anche un procedimento penale per dichiarazione fraudolenta ex art. 2 D.Lgs. 74/2000.

Difesa: la società ammette l’errore e restituisce l’IVA, ma contesta la sanzione massima. In sede di adesione ottiene la riduzione a 1/4 del minimo (anziché 1/6 poiché l’adesione riguarda un avviso e non un PVC). Parallelamente i legali presentano richiesta di patteggiamento in ambito penale dimostrando la restituzione del tributo. Le quote societarie vengono cedute a una società solida che si impegna a ristrutturare il debito.

Esito: grazie alla collaborazione, DataShield evita l’interdizione ex D.Lgs. 231/2001 e ottiene la sospensione condizionale della pena per gli amministratori. Restituisce 600.000 € in tre anni e può continuare l’attività.

Simulazione 6 – RiskMgmt S.r.l. e l’uso di algoritmi di intelligenza artificiale

Scenario: RiskMgmtxxxx fornisce un servizio basato su intelligenza artificiale che analizza i log delle reti per prevenire attacchi. La società riceve un accertamento nel 2026 perché l’Agenzia ritiene che alcuni ricavi derivanti dalla vendita di licenze siano stati sottostimati. L’ufficio utilizza propri algoritmi di analisi dei big data incrociando i contratti registrati nella banca dati del Registro delle imprese con le fatture elettroniche; ritiene che i contratti triennali abbiano generato ricavi non dichiarati per 400.000 €.

Difesa: RiskMgmt spiega che la licenza è concessa in abbonamento con fatturazione annuale e che il totale del contratto non coincide con i ricavi imputabili all’anno. Produce la documentazione contrattuale, i piani di revenue recognition e le certificazioni contabili. In sede di contraddittorio fa notare che l’algoritmo dell’Agenzia ha sommato il valore totale del contratto anziché ripartirlo sul periodo di competenza. L’ufficio riconosce l’errore e riduce il maggior imponibile a 50.000 €. Grazie al ravvedimento operoso la società paga l’imposta dovuta e beneficia di una sanzione ridotta. Questo caso evidenzia l’importanza di controllare gli output degli algoritmi e di dialogare con l’Amministrazione per correggere eventuali automatismi distorti.

Conclusione: agire in tempo e affidarsi a professionisti

Un accertamento fiscale non è un fulmine a ciel sereno. Spesso l’Agenzia dispone di elementi raccolti nel tempo (banche dati, incroci, segnalazioni) e si muove quando ritiene di avere presunzioni serie. Per le società di cybersecurity, che operano in un settore ad alta innovazione e con flussi di cassa elevati, è essenziale predisporre una contabilità trasparente, conservare documenti elettronici, rispondere ai questionari e curare la compliance. Le riforme del 2024‑2025 hanno rafforzato i diritti del contribuente introducendo l’obbligo generalizzato di contraddittorio , nuove definizioni agevolate e un testo unico della riscossione . Allo stesso tempo l’Agenzia dispone di strumenti più incisivi per recuperare i crediti (indagini bancarie, art. 38‑bis, pignoramento di somme future).

Agire con tempestività è la chiave per difendersi: appena arriva un avviso, bisogna analizzarlo con attenzione, verificare la motivazione , raccogliere prove e partecipare al contraddittorio. Non bisogna sottovalutare i vizi procedurali (notifica, allegazioni mancanti) né trascurare gli strumenti negoziali (adesione, conciliazione, CPB). Le società devono valutare la convenienza di definire la lite tramite rottamazione o rateizzazione, considerando i flussi di cassa e la sostenibilità del debito.

L’Avv. Giuseppe Angelo Monardo e il suo staff multidisciplinare sono pronti ad assistere aziende e professionisti fin dall’arrivo del primo invito al contraddittorio. Grazie all’esperienza maturata come cassazionista, gestore della crisi da sovraindebitamento e negoziatore della crisi d’impresa, l’Avv. Monardo è in grado di elaborare strategie su misura: analisi tecnica dei rilievi, redazione di memorie difensive, gestione del contraddittorio, negoziazione di adesioni e piani di rientro, ricorsi giudiziali fino alla Corte di Cassazione. Il team dispone di commercialisti esperti in fiscalità internazionale e di periti informatici specializzati nel validare i dati digitali.

📞 Contatta subito l’Avv. Giuseppe Angelo Monardo utilizzando il modulo sottostante o telefonicamente. Una consulenza tempestiva può evitare l’emissione di atti definitivi, bloccare pignoramenti e salvaguardare il patrimonio aziendale. Non attendere che le contestazioni diventino esecutive: ogni giorno perso aumenta i costi e riduce le opzioni. Con l’assistenza di professionisti competenti è possibile trasformare un accertamento da minaccia a opportunità di regolarizzare la posizione e continuare a crescere nel mercato della cybersecurity.