E-commerce: dal 2024 il sistema CESOP per i pagamenti transfrontalieri

Lo sviluppo dell'e-commerce ha incrementato il commercio transnazionale di beni e servizi, ma ha anche aumento il rischio di frodi IVA. Il principio della tassazione nello Stato di consumo e l'assenza di obblighi contabili sui consumatori determinano una oggettiva difficoltà per gli Stati membri di mappare le operazioni transfrontaliere B2C, con il rischio di non riuscire a contrastare efficacemente i comportamenti fraudolenti delle imprese fornitrici.

Proprio per tale ragione, nel febbraio 2020, l'Unione Europa ha varato due provvedimenti che entreranno in vigore l'1° gennaio 2024 e che introducono misure comuni di contrasto alle frodi IVA in ambito e-commerce. In particolare, tali misure prevedono:

• il coinvolgimento dei prestatori di servizi di pagamento, che - a determinate condizioni - saranno tenuti a conservare e mettere a disposizione degli Stati membri i dati dei pagamenti nei confronti di beneficiari con sede in Stati diversi da quello del pagatore (cfr. Dir. 2020/284/UE che modifica la Dir. IVA); e
• l'istituzione di un sistema elettronico centrale di informazione sui servizi di pagamento (c.d. CESOP) cui gli Stati membri potranno accedere, alimentato dagli Stati membri con i dati forniti dai prestatori dei servizi di pagamento (cfr. Reg. UE 283/2020 che modifica il Reg. UE 904/2010).

Infatti, unitamente allo sviluppo dell'e-commerce è aumentato anche il ricorso ai c.d. servizi di pagamento. Di conseguenza, i prestatori di detti servizi, soggetti terzi rispetto all'operazione di vendita, sono in grado di fornire alle Amministrazioni finanziarie informazioni utili per una efficiente ed efficace lotta alle frodi IVA transfrontaliere.

Con il Reg. UE 1504/2022 (G.U. dell'Unione Europea 12 settembre 2022) sono state introdotte le norme di attuazione delle misure sopra descritte, definendo le funzionalità e le modalità di gestione e utilizzo del CESOP, nonché le specifiche tecniche e il contenuto minimo che dovranno avere le informazioni fornite dai prestatori di servizi di pagamento. Anche il Regolamento di Esecuzione entrerà in vigore l'1° gennaio 2024.

Obblighi dei prestatori dei servizi di pagamento

La Dir. 2020/284/UE prevede che i prestatori dei servizi di pagamento relativi a pagamenti transfrontalieri sono tenuti:

• a conservare una documentazione sufficientemente dettagliata dei servizi prestati e dei beneficiari dei relativi pagamenti per un periodo di tre anni successivi all'anno del pagamento;
• a metterla a disposizione delle Autorità fiscali dello Stato membro di origine del prestatore dei servizi di pagamento, ovvero degli eventuali Stati membri ospitanti.

E ciò “al fine di consentire alle autorità competenti degli Stati membri di effettuare i controlli delle cessioni di beni e delle prestazioni di servizi che […] si considerano avvenute nel territorio di uno Stato membro” (art. 243-ter Dir. IVA, come modificata dalla Dir. 2020/284/UE).

Il pagamento si considera transfrontaliero quando il pagatore è localizzato in uno Stato membro, mentre il beneficiario è localizzato in altro Stato membro o al di fuori dell'UE. Per localizzare il pagatore e il beneficiario saranno rilevanti l'IBAN del conto di pagamento o l'identificativo BIC del prestatore del servizio di pagamento.

Gli obblighi di cui sopra si configurano solo quando il beneficiario riceve più di 25 pagamenti nell'arco di un trimestre civile.

Questa precisazione risulta essenziale per evitare la trasmissione di dati di soggetti che non svolgono attività commerciale e che, quindi, non sono coinvolti in frodi IVA. Infatti, il trattamento dei dati personali è legittimo solo se limitato a combattere comportamenti fraudolenti nel rispetto del principio di proporzionalità. Ciò non si verifica mai quando i dati riguardano consumatori, includendo in questa categoria anche coloro che forniscono sporadicamente beni e servizi (cfr. Parere Garante Europeo dei dati personali 14 marzo 2019).

Peraltro, a corollario di tale considerazione, si segnala che in nessun caso il prestatore dei servizi di pagamento è autorizzato a conservare e mettere a disposizione delle Amministrazioni finanziarie dati che permettano di risalire al soggetto pagatore (cfr. anche Allegato al Reg. UE 1504/2022).

Dati raccolti ed il sistema elettronico centrale di informazione sui servizi di pagamento (CESOP)

Per consentire la condivisione immediata a livello comunitario delle informazioni fornite dai prestatori dei servizi di pagamento, il legislatore europeo ha istituito il CESOP che, inserito tra le misure di lotta contro le frodi IVA di cui al Reg. UE 904/2010, diverrà operativo dall'1° gennaio 2024 (Reg. UE 283/2020).

Si tratta di un sistema elettronico centrale che, alimentato con i dati dei pagamenti raccolti e forniti da ciascuna Autorità nazionale secondo un formulario elettronico standard, li archivierà, aggregherà ed analizzerà in relazione ai singoli beneficiari.

Il formulario elettronico standard dovrà essere presentato in formato XML (art. 4 Reg. UE 1504/2022) e i dati dei pagamenti dovranno essere forniti secondo il formato standardizzato di cui all'Allegato al Reg. di Esecuzione. Le indicazioni riguarderanno solo dati oggettivi riferibili a:

• identificativo del prestatore dei servizi di pagamento;
• beneficiario del pagamento;
• operazione di pagamento (ossia, data, ora, importo e valuta, presenza fisica o virtuale dell'acquirente);
• Stato membro di origine del pagamento e localizzazione del pagatore;
• codice identificativo dell'operazione.

Come già detto, per esigenze di privacy, nei dati presenti sul formulario non dovranno esserci riferimenti che consentano di risalire al soggetto pagatore, né tanto meno al motivo del pagamento.

La Commissione Europea ha redatto delle linee guida destinate ai prestatori dei servizi di pagamento e agli Stati membri. Esse, sebbene non vincolati, saranno un utile strumento per interpretare correttamente gli obblighi di conservazione e comunicazione dei dati dei pagamenti e il funzionamento del CESOP (cfr. Guidelines 3 agosto 2022).

I dati raccolti ed elaborati verranno messi a disposizione dei funzionari di collegamento di EUROFISC designati da ciascuno Stato membro. Quest'ultimo comunicherà alla Commissione Europea i relativi nominativi e indirizzi di posta elettronica, in modo che la Commissione possa poi fornire loro un identificativo personale unico per l'autenticazione e l'accesso al CESOP.

Inoltre, per rispettare il principio di proporzionalità tra obiettivi di lotta all'evasione e tutela dei dati personali, le informazioni presenti nel CESOP potranno essere utilizzate solo ed esclusivamente per contrastare le frodi IVA e solo previa verifica incrociata con i dati presenti nei data-base VIES e OSS (che, peraltro, non potranno confluire nel CESOP; cfr. Parere Garante Europeo dei dati personali 2 febbraio 2022). Pertanto, il legittimo utilizzo delle informazioni in parola, a parere di chi scrive, dovrà essere vagliato e motivato in sede di eventuale accertamento sotto due aspetti: quello teleologico e quello probatorio al fine di limitare i rischi di un uso distorto dei dati personali trattati.

Le informazioni raccolte nel CESOP potranno essere conservate per un periodo massimo di 5 anni successivi all'anno in cui sono state trasmesse.

Conclusioni

Dal breve esame delle misure che entreranno in vigore l'1° gennaio 2024, emerge con forza la necessità di un bilanciamento tra l'obiettivo (legittimo) di lotta alle frodi IVA e il diritto alla privacy, soprattutto con riferimento al trattamento dei dati personali dei beneficiari dei pagamenti da parte delle Amministrazioni finanziarie.

Pertanto, si auspica che in sede di recepimento della Dir. 2020/284/UE, il legislatore nazionale non si limiti a disciplinare gli obblighi informativi gravanti sui prestatori dei servizi di pagamento, ma introduca anche procedure obbligatorie per le Autorità fiscali funzionali a garantire che le informazioni del CESOP siano effettivamente impiegate solo per le finalità previste dalla legge.

Ovviamente, si resta in attesa degli sviluppi.

Fonte: Reg. UE 1504/2022