Indagini bancarie: il Fisco non può più controllare senza confini

La Cassazione ridefinisce i limiti degli accertamenti fondati sui dati bancari: autorizzazione preventiva, controllabilità e inutilizzabilità delle prove illegittimamente acquisite.

Le indagini bancarie rappresentano uno degli strumenti più incisivi a disposizione dell’Amministrazione finanziaria. Attraverso l’accesso ai conti correnti, ai rapporti finanziari e alle movimentazioni del contribuente, il Fisco può ricostruire redditi non dichiarati, compensi occultati o ricavi non contabilizzati.

Proprio per la loro forza invasiva, però, tali indagini non possono essere svolte senza limiti. Con le ordinanze n. 19956 e n. 19960 del 15 giugno 2026, la Corte di Cassazione ha segnato un passaggio rilevante: l’accesso ai dati bancari del contribuente deve essere sorretto da un’autorizzazione preventiva, effettiva e conoscibile. In mancanza, le risultanze bancarie possono diventare inutilizzabili e l’avviso di accertamento può risultare invalido nella parte in cui si fonda su quei dati.

Il punto di partenza: i dati bancari sono dati personali

La Suprema Corte muove da un principio ormai consolidato a livello sovranazionale: le informazioni bancarie non sono semplici dati contabili. Esse rientrano nella sfera privata del contribuente, anche quando riguardano attività professionali o imprenditoriali.

La consultazione dei conti correnti costituisce quindi una vera e propria ingerenza nella vita privata, ammessa solo se prevista dalla legge, proporzionata allo scopo perseguito e accompagnata da garanzie adeguate contro il rischio di controlli arbitrari o meramente esplorativi.

In questo quadro assume rilievo decisivo la sentenza della Corte EDU nel caso Ferrieri e Bonassisa c. Italia, richiamata dalla Cassazione, che ha censurato il sistema italiano nella parte in cui non garantiva un controllo effettivo sull’autorizzazione alle indagini bancarie.

L’autorizzazione non è più un mero atto interno

Tradizionalmente, l’autorizzazione prevista dall’art. 32 del D.P.R. n. 600/1973 e dall’art. 51 del D.P.R. n. 633/1972 veniva considerata un atto interno all’Amministrazione finanziaria, con funzione essenzialmente organizzativa.

Le ordinanze del 2026 non negano questa natura preparatoria, ma ne ridisegnano la portata. L’autorizzazione diventa il titolo che legittima l’ingerenza nei dati bancari del contribuente. Per questa ragione deve esistere prima dell’acquisizione dei dati e deve contenere elementi minimi idonei a consentire un controllo successivo.

Non è sufficiente, quindi, che l’avviso di accertamento si limiti a richiamare genericamente l’esistenza di una preventiva autorizzazione. Il contribuente deve essere posto in condizione di verificarne la data, i presupposti, il perimetro soggettivo e oggettivo, nonché la riferibilità alla specifica attività istruttoria poi posta a fondamento della pretesa fiscale.

Autorizzazione mancante, tardiva o non conoscibile: cosa accade

La Cassazione chiarisce tre profili essenziali.

In primo luogo, l’autorizzazione deve essere preventiva. Un’autorizzazione rilasciata dopo l’acquisizione dei dati bancari non può sanare retroattivamente un’attività istruttoria già compiuta senza il necessario presupposto legittimante.

In secondo luogo, l’autorizzazione deve avere un contenuto minimo. Deve consentire di comprendere perché l’indagine è stata disposta, su quali soggetti, per quali rapporti, entro quali limiti temporali e con quale finalità istruttoria.

In terzo luogo, l’autorizzazione deve essere conoscibile. Se il contribuente contesta specificamente la legittimità delle indagini bancarie, l’Amministrazione deve produrre l’autorizzazione o, quantomeno, renderne conoscibile il contenuto essenziale.

Quando ciò non avviene, la documentazione bancaria acquisita diventa inutilizzabile. L’avviso di accertamento non viene necessariamente travolto in modo integrale, ma risulta invalido nella parte in cui la pretesa tributaria si fonda proprio sulle risultanze bancarie illegittimamente acquisite.

Il contribuente deve eccepire il vizio tempestivamente

Un aspetto processuale di grande importanza riguarda l’onere di contestazione.

La Cassazione precisa che l’invalidità derivante dalla mancanza o dall’inidoneità dell’autorizzazione non è, di regola, rilevabile d’ufficio. Il contribuente deve sollevare la relativa eccezione in modo specifico e tempestivo, secondo il principio dispositivo che governa il processo tributario.

Ciò significa che la difesa non può limitarsi a contestazioni generiche sull’accertamento. Occorre verificare subito se l’atto impositivo fondato su indagini bancarie indichi correttamente l’autorizzazione, se questa sia stata prodotta, se sia anteriore all’acquisizione dei dati e se ne sia comprensibile il perimetro.

La tempestività della contestazione diventa quindi decisiva: un vizio potenzialmente rilevante può perdere efficacia difensiva se non viene dedotto nei tempi e nei modi corretti.

Accertamenti “a tavolino” e garanzie procedimentali

Le ordinanze affrontano anche il tema delle verifiche cosiddette “a tavolino”, cioè svolte presso gli uffici dell’Amministrazione finanziaria senza accesso fisico nei locali del contribuente.

Su questo punto la Cassazione conferma l’orientamento secondo cui, in assenza di accessi, ispezioni o verifiche presso la sede del contribuente, non opera l’obbligo di redazione del processo verbale di constatazione né trova applicazione il termine dilatorio di sessanta giorni previsto dall’art. 12, comma 7, dello Statuto del contribuente.

La tutela del contribuente, in questi casi, non passa dunque necessariamente dal mancato rispetto del termine di sessanta giorni, ma dal controllo sulla legittimità dell’attività istruttoria, sulla correttezza dell’autorizzazione e sull’effettiva possibilità di difesa rispetto ai dati acquisiti.

Il valore pratico della svolta giurisprudenziale

Il messaggio che emerge dalle ordinanze è netto: il potere di accertamento del Fisco resta pienamente legittimo, ma non può trasformarsi in un potere incontrollato.

Le indagini bancarie devono essere mirate, autorizzate, delimitate e verificabili. Il contribuente non può essere esposto a controlli finanziari generici senza poter conoscere il titolo che ha consentito l’accesso ai propri dati.

Per professionisti, imprese e contribuenti, la conseguenza pratica è rilevante. Ogni avviso di accertamento fondato su movimentazioni bancarie deve essere esaminato non solo nel merito delle singole operazioni contestate, ma anche nella sua fase genetica: chi ha autorizzato l’indagine, quando, con quali limiti e con quale motivazione minima.

**********

Le ordinanze n. 19956 e n. 19960 del 2026 segnano una svolta nella difesa tributaria: l’accertamento bancario non è più valutabile soltanto sulla base delle movimentazioni contestate, ma anche alla luce della legittimità del percorso attraverso cui quei dati sono stati acquisiti.

La tutela d’impresa più efficace non coincide con “fare causa per ultimi”, ma nel costruire prima la prova della diligenza organizzativa.

Privacy, cybersecurity, know-how e rapporti con la PA non sono compartimenti separati: sono facce della stessa esigenza, ossia proteggere il valore aziendale e ridurre il costo delle crisi. Un audit periodico su dati, accessi, fornitori e procedure di reazione è spesso il modo più rapido per evitare contenziosi molto più costosi