Registro delle corrispondenze sanzionatorie — come tenerlo e cosa deve contenere

Stato del diritto al: 2026-05-20.

Fai sanction screening — verifichi le controparti prima di ogni operazione rispetto alle liste di sanzioni dell’UE e a quella consolidata applicata in Italia. Ma documenti ciascuna di queste verifiche? Il registro delle corrispondenze sanzionatorie non è un modulo burocratico: è la prova che hai osservato la dovuta diligenza. Senza di esso, ogni controllo dell’autorità parte da congetture, non da fatti. In questo articolo trovi una risposta concreta alle domande: che cosa annotare esattamente nel registro, perché registrare anche gli esiti “puliti”, per quanto tempo conservare la documentazione e come si svolge un controllo nella pratica.

TL;DR — l’essenziale in 5 punti

• Il registro delle corrispondenze è la storia documentata di ogni verifica di una controparte rispetto alle liste di sanzioni — con data, esito e persona responsabile. Senza di esso non hai prova della dovuta diligenza.
• Registra ogni esito — MATCH, POSSIBLE e CLEAR. Anche le verifiche “pulite” sono prova che la procedura funziona.
• Campi minimi del registro: data e ora della verifica, chi ha verificato, dati della controparte, quali liste sono state controllate (con data/versione), esito (MATCH/POSSIBLE/CLEAR), azioni intraprese.
• Tempo di conservazione: per le imprese che sono destinatari degli obblighi antiriciclaggio — 10 anni dalla cessazione del rapporto continuativo (art. 31 d.lgs. 231/2007¹). Per le altre imprese non esiste un termine rigido di legge per la documentazione delle verifiche sanzionatorie, ma applicare uno standard prudenziale analogo è una buona prassi.
• In caso di controllo il registro è il primo documento che l’autorità richiede — l’assenza di documentazione è trattata come assenza di verifica.

Che cos’è il registro delle corrispondenze sanzionatorie

Il registro delle corrispondenze sanzionatorie è l’evidenza di tutte le verifiche svolte dalla tua impresa rispetto alle liste di sanzioni. Ogni voce del registro risponde a una sola domanda: “quando, chi e come ha verificato questa controparte — e con quale esito”. È un documento interno, che tieni per esigenze tue, ma che in caso di controllo diventa la tua prova principale.

L’obbligo di verificare le controparti rispetto alle liste di sanzioni UE deriva direttamente dai regolamenti dell’Unione — il regolamento (UE) n. 269/2014 del Consiglio, del 17 marzo 2014², e il regolamento (UE) n. 833/2014 del Consiglio, del 31 luglio 2014³. Questi regolamenti sono direttamente applicabili in ciascuno Stato membro — senza bisogno di un ulteriore recepimento nazionale⁴. Il registro delle corrispondenze è lo strumento pratico per dimostrare che rispetti questi regolamenti.

In Italia il decreto legislativo 22 giugno 2007, n. 109⁵ è l’atto cardine del congelamento dei fondi e delle risorse economiche e completa questo obbligo nell’ordinamento nazionale, definendo le sanzioni per la sua violazione — una sanzione amministrativa pecuniaria da 5.000 a 500.000 euro (art. 13)⁶. In questo contesto la documentazione non è un’opzione, ma un elemento di una difesa efficace.

Se stai appena iniziando e vuoi prima verificare se l’obbligo di screening riguarda la tua impresa, leggi l’articolo La mia impresa deve fare sanction screening?

Perché registrare anche le verifiche “pulite” (esito CLEAR)

È una domanda che sentiamo spesso: perché annotare una verifica se l’esito è stato negativo — non ho trovato nessuna corrispondenza? La risposta è semplice: durante un controllo l’autorità non vede che “non è successo niente”. Vede o la documentazione, oppure la sua assenza.

L’assenza di una voce nel registro per una determinata controparte significa — dal punto di vista dell’autorità — che la verifica potrebbe non essere mai stata svolta. Non puoi invocare con efficacia la dovuta diligenza se non hai un documento che conferma quando e come si è svolta la verifica. Anche un esito CLEAR deve essere documentato per avere valore probatorio.

C’è un’altra ragione importante. Le liste di sanzioni UE sono aggiornate con regolarità — nuove entità e persone fisiche vengono aggiunte a ogni nuovo pacchetto di sanzioni UE contro la Russia e contro la Bielorussia⁷. Se la tua documentazione mostra le date delle verifiche e le versioni delle liste, puoi dimostrare di aver verificato la controparte in conformità allo stato delle liste in vigore in quella data — e una corrispondenza apparsa successivamente non può esserti imputata come colpa.

Il registro degli esiti CLEAR costruisce anche un’immagine credibile del sistema di compliance. L’autorità vede che la verifica avviene in modo sistematico, non solo per le controparti “sospette”. È la differenza fondamentale tra un’impresa che ha una procedura e la applica e un’impresa che si limita a dichiarare di fare screening “da qualche parte”.

Quali campi deve contenere il registro — modello di struttura

Un buon registro delle corrispondenze sanzionatorie non deve essere complicato. Deve essere completo. La tabella seguente mostra la struttura minima che puoi attuare in un foglio di calcolo o in un sistema dedicato.

Alcune note al modello

Il campo “Liste di sanzioni controllate” è cruciale — non basta scrivere “verificato”. Devi sapere quale versione della lista avevi a disposizione il giorno della verifica. La lista consolidata UE (Consolidated List), gestita dalla Commissione europea (DG FISMA)⁷, può essere aggiornata senza un calendario regolare; in Italia non esiste una lista nazionale autonoma — si applica la lista consolidata UE, il cui coordinamento spetta al Comitato di Sicurezza Finanziaria presso il MEF⁸. Pertanto la data della verifica e la data di download/versione della lista insieme creano un quadro completo.

In caso di esito POSSIBLE documenta in dettaglio: cosa ha generato il dubbio, quali identificativi aggiuntivi hai esaminato, perché alla fine hai escluso (o no) la corrispondenza. Una documentazione così ti tutela in un eventuale procedimento — dimostra che non hai ignorato il segnale d’allarme, ma lo hai affrontato in modo metodico. Come distinguere una corrispondenza reale da una semplice omonimia lo spieghiamo nell’articolo sui falsi positivi nel sanction screening.

In caso di esito MATCH — non agire in autonomia. Congeli i fondi e segnali il caso alle autorità competenti⁶. Documenti l’intera sequenza di azioni passo dopo passo, con date e ore.

Una descrizione dettagliata di come interpretare ciascuno dei tre esiti e cosa fare passo dopo passo la trovi nell’articolo Verifica della controparte rispetto alle sanzioni — guida passo dopo passo.

Per quanto tempo conservare la documentazione

Questa domanda richiede precisione, perché la risposta varia a seconda di chi sei.

Se sei un destinatario degli obblighi ai sensi del decreto legislativo 21 novembre 2007, n. 231¹ — per esempio un agente immobiliare o un intermediario assicurativo — hai una regola precisa: l’art. 31 di tale decreto impone di conservare la documentazione per 10 anni dalla cessazione del rapporto continuativo con il cliente o dall’esecuzione dell’operazione occasionale¹. È il minimo che discende direttamente dalla norma antiriciclaggio.

Se non sei un destinatario degli obblighi antiriciclaggio — il tuo obbligo sanzionatorio deriva direttamente dai regolamenti UE 269/2014² e 833/2014³, ma nessuno di questi atti definisce espressamente il periodo di conservazione della documentazione delle verifiche per le imprese non finanziarie. Significa che non esiste una norma rigida che ti imponga di conservare il registro per un numero preciso di anni. Tuttavia applicare uno standard prudenziale pluriennale come misura di cautela è una solida prassi di compliance — offre un margine di sicurezza in un eventuale procedimento amministrativo. Allinearsi al termine decennale previsto dalla normativa antiriciclaggio è una scelta prudente.

Indipendentemente dalla categoria giuridica: cancellare la documentazione poco dopo la data della verifica è rischioso. Un procedimento o un eventuale controllo possono riguardare operazioni di diversi anni prima — e l’assenza di documentazione di quel periodo rende impossibile una difesa efficace.

Se svolgi un’attività per la quale i dubbi sullo status di destinatario degli obblighi sono concreti — riguarda, tra gli altri, gli agenti immobiliari, gli agenti assicurativi e i broker — leggi l’articolo sull’obbligo di sanction screening nel settore assicurativo o immobiliare.

Forma del registro — foglio di calcolo o sistema automatico

Non esiste una norma che ti imponga di tenere il registro in un formato specifico. Conta che il registro sia leggibile, completo e disponibile su richiesta dell’autorità. Nella pratica le imprese scelgono una di due strade.

Foglio di calcolo (Excel, Google Sheets)

Il foglio di calcolo è la soluzione più semplice, soprattutto per le imprese con un numero ridotto di controparti — fino a qualche decina di verifiche al mese. Il vantaggio è il costo di attuazione nullo e il pieno controllo sulla struttura. Lo svantaggio: assenza di alert automatici, rischio di errori nella compilazione manuale, mancanza di un controllo di versione integrato e difficoltà di scalabilità. Con il foglio di calcolo devi ricordarti di salvare regolarmente copie di backup e di proteggere l’accesso — il registro contiene dati personali delle controparti, quindi è soggetto al GDPR.

Se opti per il foglio di calcolo, creane uno una volta sola secondo il modello della sezione precedente e mantieni la stessa struttura — una storia coerente è leggibile per qualunque auditor.

Sistema automatico (software dedicato di screening)

Uno strumento dedicato di sanction screening automatizza l’intero percorso: scarica gli aggiornamenti delle liste di sanzioni, svolge le verifiche secondo regole definite, registra gli esiti e costruisce una traccia di audit senza intervento manuale. Ogni verifica è registrata con l’ora esatta, la versione della lista e l’esito — esattamente nella forma che l’autorità si aspetta.

Per le imprese che gestiscono decine o centinaia di verifiche al mese, l’automazione elimina il rischio di errore e di dimenticanza. Un criterio importante nella scelta del sistema è la possibilità di installarlo nell’infrastruttura della propria impresa (on-premise) — i dati delle tue controparti non devono lasciare la tua rete.

Il registro delle corrispondenze tenuto automaticamente dal software è di fatto una prova di dovuta diligenza già pronta — la storia delle verifiche di ogni controparte può essere esportata e mostrata all’ispettore in pochi minuti.

Il registro delle corrispondenze durante un controllo dell’autorità

In Italia l’attuazione delle misure restrittive è coordinata dal Comitato di Sicurezza Finanziaria (CSF) presso il MEF⁶, mentre l’enforcement operativo e i controlli spettano alla Guardia di Finanza e all’Agenzia delle Dogane e dei Monopoli (ADM). Per i destinatari degli obblighi antiriciclaggio la vigilanza spetta inoltre all’UIF (Unità di Informazione Finanziaria per l’Italia) presso la Banca d’Italia⁹ e alle autorità di settore. Ciascuno di questi organi ha il potere di richiedere la documentazione relativa allo screening sanzionatorio svolto.

Cosa verifica l’autorità nella pratica? L’ispettore parte dalla domanda se in azienda esista una procedura sulle sanzioni e se sia applicata. Il registro delle corrispondenze è la prova dell’applicazione. L’autorità verifica soprattutto:

• Se le verifiche sono state svolte prima di ogni nuova relazione commerciale e nel corso della collaborazione.
• Se il registro copre tutte le controparti, non solo quelle “sospette” — un controllo a campione è un segnale d’allarme.
• Se nel registro ci sono voci con date e versioni delle liste, che consentono di confermare l’attualità della verifica.
• Come sono stati gestiti gli esiti POSSIBLE e MATCH — se esiste la documentazione delle azioni intraprese.
• Se la persona che ha svolto la verifica è chiaramente indicata.

L’assenza del registro o un registro con lacune (per es. mancanza di date, mancanza delle versioni delle liste, mancanza di esiti per parte delle controparti) è trattata dall’autorità come assenza di verifica in quelle aree. Questo a sua volta apre la strada a un procedimento e a una potenziale sanzione amministrativa ai sensi dell’art. 13 del d.lgs. 109/2007⁶.

Vale anche la pena di sapere che la direttiva del Parlamento europeo e del Consiglio (UE) 2024/1226 del 24 aprile 2024¹⁰ — il cui termine di recepimento da parte degli Stati UE è scaduto il 20 maggio 2025 — obbliga gli Stati a penalizzare le violazioni intenzionali delle sanzioni. L’Italia ha recepito la direttiva con il d.lgs. 30 dicembre 2025, n. 211, in vigore dal 24 gennaio 2026, che ha introdotto nel codice penale i reati di violazione delle misure restrittive UE — una documentazione di compliance completa è uno degli argomenti che possono distinguere una “violazione non intenzionale” da una “intenzionale”. Il quadro completo delle sanzioni e degli organi di controllo lo trovi nell’articolo Quali sanzioni si rischiano per la violazione delle misure restrittive in Italia e nell’UE?

Gli errori più frequenti nella tenuta del registro

Nella pratica le imprese che già hanno un registro delle corrispondenze commettono alcuni errori ricorrenti. Ciascuno di essi può minare il valore probatorio della documentazione.

Mancanza della data/versione della lista. Annoti l’esito “CLEAR”, ma non registri quale versione della lista di sanzioni hai usato e quando l’hai scaricata. L’autorità non può valutare se la verifica fosse attuale — le liste cambiano regolarmente a ogni nuovo pacchetto di sanzioni UE⁷.

Verifica solo al primo contatto. Un controllo una tantum della controparte alla firma del contratto non basta. Un soggetto che era “pulito” un anno fa potrebbe nel frattempo essere finito in lista. Il registro deve mostrare verifiche periodiche nel corso della collaborazione.

Omissione degli esiti CLEAR. Se il registro contiene solo voci MATCH e POSSIBLE — corrispondenze evidenti — l’autorità può chiedere: e dove sono le verifiche senza corrispondenza? O non ci sono, o non sono state registrate. Entrambe le risposte sono un problema.

Mancanza della firma o del nome della persona che verifica. Il registro deve indicare chiaramente chi ha svolto la verifica. Una voce anonima “verificato” non è una prova — non si sa chi l’abbia fatto né se quella persona ne avesse le competenze.

Modulo senza il campo “azioni intraprese”. Annotare il solo esito POSSIBLE senza descrivere i passi successivi è metà della documentazione. L’autorità verificherà cosa ha fatto l’impresa dopo una corrispondenza iniziale — se ha approfondito il tema oppure ha semplicemente ignorato il segnale.

Registro tenuto in modo retrospettivo. Compilare il registro “a memoria” settimane dopo la verifica è rischioso e facile da contestare. Le voci dovrebbero essere aggiunte in tempo reale — preferibilmente il giorno della verifica o automaticamente dal sistema.

FAQ — le domande più frequenti sul registro delle corrispondenze sanzionatorie

Devo tenere il registro delle corrispondenze se sono una piccola impresa?

Sì. L’obbligo sanzionatorio deriva dai regolamenti UE²³, che si applicano a ogni impresa che opera nell’Unione — indipendentemente dalla dimensione. Il registro è la prova che adempi a questo obbligo. Una piccola impresa può tenerlo in un semplice foglio di calcolo — l’importante è che sia completo.

Il registro deve avere una forma giuridica determinata o un modello ufficiale?

No — nessuna norma del diritto italiano o dell’Unione impone un modello specifico di registro delle corrispondenze sanzionatorie per le imprese non finanziarie. Contano la completezza e la possibilità di ricostruire la storia delle verifiche per ogni controparte. Il modello di questa sezione puoi considerarlo come un minimo.

Cosa fare quando una controparte è già in archivio e voglio solo “riverificarla” — inserisco un nuovo record?

Sì, ogni nuova verifica dovrebbe avere una propria voce nel registro — con data, versione della lista ed esito aggiornati. Non sovrascrivere le voci precedenti. La storia delle verifiche di ogni controparte è preziosa: mostra da quando la verifichi e con quale frequenza.

Devo registrare le verifiche delle controparti estere in modo diverso da quelle italiane?

La forma della voce è la stessa. L’unica differenza riguarda i dati identificativi — per i soggetti esteri inserisci gli equivalenti della partita IVA del Paese di registrazione (per es. VAT-EU, EIN, Company Registration Number). Li verifichi sulle stesse liste: lista consolidata UE, lista ONU ed eventualmente OFAC¹¹. In Italia non esiste una lista nazionale autonoma: si applica la lista consolidata UE⁸.

Per quanto tempo conservare il registro se ho concluso la collaborazione con una controparte?

Per i destinatari degli obblighi antiriciclaggio — 10 anni dalla cessazione del rapporto continuativo (art. 31 d.lgs. 231/2007¹). Per le imprese non finanziarie non esiste un termine rigido, ma applicare uno standard prudenziale analogo è una buona prassi. Trascorso tale periodo puoi valutare la cancellazione dei dati, tenendo conto degli obblighi del GDPR relativi al periodo di conservazione dei dati personali.

Un sistema di sanction screening tiene automaticamente il registro?

Un buon software di sanction screening registra ogni verifica automaticamente — con data, esito e versione della lista. È la sua funzione fondamentale. Al momento dell’acquisto o dell’implementazione del sistema chiedi al fornitore se l’esportazione della storia delle verifiche è possibile in un formato accettato dagli organi di controllo (per es. CSV o PDF con firma digitale).

Cosa fare in concreto — elenco dei passi

1. Crea il registro — usa il modello di tabella di questa sezione dell’articolo. Se hai già qualcosa di simile, verifica che contenga tutti i campi richiesti: data+ora, chi ha verificato, dati della controparte, lista (con data/versione), esito, azioni intraprese.
2. Completa le voci arretrate — se hai svolto verifiche ma non le hai registrate: integra ciò che ricordi o ciò che puoi ricostruire da altri documenti (e-mail, log dei sistemi). Una documentazione retrospettiva è meglio dell’assenza di documentazione — ma segnala che le voci sono state aggiunte a posteriori.
3. Designa una persona responsabile — il registro deve avere un titolare. La persona incaricata della compliance risponde del fatto che ogni verifica sia registrata in tempo reale.
4. Stabilisci la procedura “chi, quando e come” — quando deve essere svolta la verifica (prima di ogni nuova operazione, periodicamente per le controparti abituali), chi la svolge e chi approva l’esito in caso di POSSIBLE o MATCH.
5. Definisci il tempo di conservazione — inserisci nella politica sulle sanzioni dell’impresa che la documentazione è conservata per un periodo prudenziale adeguato (allinearsi al termine decennale della normativa antiriciclaggio è una scelta cauta) dalla data della verifica o dalla cessazione della collaborazione (a seconda di quale sia più tardiva).
6. Proteggi l’accesso al registro — il registro contiene dati personali (nomi, partite IVA, dati delle controparti), quindi è soggetto al GDPR. Limita l’accesso alle persone che devono leggerlo o compilarlo. Tieni una copia di backup.
7. Valuta l’automazione — se il numero di verifiche cresce (qualche decina o più al mese), la tenuta manuale del registro diventa di per sé un rischio. Un sistema automatico elimina gli errori umani e garantisce la completezza della documentazione senza sforzo aggiuntivo. Vale anche la pena di collegare il registro alla politica sulle sanzioni dell’impresa — i documenti modello li descriviamo a parte.

Come può aiutarti Sanqto

Sanqto è un software di sanction screening destinato alle imprese fuori dal settore finanziario — come agenzie di viaggi, agenzie assicurative, agenti immobiliari o imprese e-commerce. Il sistema funziona in modalità on-premise: i dati delle tue controparti non lasciano l’infrastruttura della tua impresa. Ogni verifica è registrata automaticamente e restituisce un esito in tre stati: MATCH, POSSIBLE o CLEAR — costruendo una traccia di audit già pronta senza compilazione manuale del registro. Nel pacchetto di implementazione offriamo anche un modello già pronto di registro delle corrispondenze e di politica sulle sanzioni — adattato al settore in cui operi. Scopri come funziona Sanqto nel tuo settore: sanction screening per le agenzie di viaggi e il settore turistico, sanction screening per gli agenti immobiliari, sanction screening per broker e agenti assicurativi.

Base giuridica

• Regolamento (UE) n. 269/2014 del Consiglio del 17 marzo 2014 concernente misure restrittive relative ad azioni che compromettono o minacciano l’integrità territoriale, la sovranità e l’indipendenza dell’Ucraina — CELEX 32014R0269

• Regolamento (UE) n. 833/2014 del Consiglio del 31 luglio 2014 concernente misure restrittive in considerazione delle azioni della Russia che destabilizzano la situazione in Ucraina — CELEX 32014R0833

• Regolamento (CE) n. 765/2006 del Consiglio del 18 maggio 2006 concernente misure restrittive nei confronti della Bielorussia — CELEX 32006R0765

• Decreto legislativo 22 giugno 2007, n. 109 — Misure per prevenire, contrastare e reprimere il finanziamento del terrorismo e l’attività dei Paesi che minacciano la pace e la sicurezza internazionale (atto cardine del congelamento di fondi e risorse economiche; art. 3 istituisce il CSF; art. 13 disciplina le sanzioni) — normattiva

• Decreto legislativo 21 novembre 2007, n. 231 — normativa antiriciclaggio (AML); istituisce l’UIF presso la Banca d’Italia, definisce i destinatari degli obblighi (art. 3) e l’obbligo decennale di conservazione (art. 31) — Banca d’Italia

• Direttiva (UE) 2024/1226 del Parlamento europeo e del Consiglio del 24 aprile 2024 relativa alla definizione dei reati e delle sanzioni per la violazione delle misure restrittive dell’Unione — CELEX 32024L1226

• Decreto legislativo 30 dicembre 2025, n. 211 — attuazione della direttiva (UE) 2024/1226; introduce nel codice penale i reati di violazione delle misure restrittive UE; in vigore dal 24 gennaio 2026 — normattiva

• Comitato di Sicurezza Finanziaria (CSF) presso il MEF — coordina l’attuazione in Italia delle misure di congelamento; l’Italia non tiene una lista sanzionatoria nazionale autonoma e applica la lista consolidata UE: dt.mef.gov.it

• Lista consolidata UE delle sanzioni finanziarie (Consolidated List / FSD) — gestita dalla Commissione europea (DG FISMA): finance.ec.europa.eu

Footnotes

Informazione, non consulenza legale. Il presente articolo ha finalità esclusivamente informative e non costituisce consulenza legale. La valutazione giuridica del singolo caso va effettuata con un avvocato esperto in diritto delle sanzioni internazionali e del commercio estero. Stato del diritto: 2026-05-20.