Pubblicato il 12/05/2026

N. 03708/2026REG.PROV.COLL.

N. 01472/2025 REG.RIC.

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO

Il Consiglio di Stato

in sede giurisdizionale (Sezione Sesta)

ha pronunciato la presente

SENTENZA

sul ricorso numero di registro generale 1472 del 2025, proposto da
Agenzia delle Entrate - Direzione Regionale Emilia Romagna, in persona del legale rappresentante pro tempore, rappresentata e difesa dall'Avvocatura Generale dello Stato, domiciliataria ex lege in Roma, via dei Portoghesi, 12;

contro

-OMISSIS-, rappresentato e difeso dagli avvocati Nicola Bianchi, Massimo Rutigliano, con domicilio digitale come da PEC da Registri di Giustizia;

per la riforma

della sentenza del Tribunale Amministrativo Regionale per l'Emilia Romagna sezione staccata di Parma n. 196/2024, resa tra le parti;

Visti il ricorso in appello e i relativi allegati;

Visto l'atto di costituzione in giudizio del sig. -OMISSIS-;

Visti tutti gli atti della causa;

Relatore nell'udienza pubblica del giorno 5 marzo 2026 il Cons. BE AV;

Dato atto che nessuno è comparso per le parti costituite, che hanno depositato istanza di passaggio della causa in decisione senza discussione;

Ritenuto e considerato in fatto e diritto quanto segue.

FA e IT

1. L’odierno appellato è iscritto all’Albo dei ragionieri e dei periti commerciali a far data dal 10 febbraio 1977, è soggetto abilitato al servizio telematico Entratel per la trasmissione delle dichiarazioni fiscali ed è inserito nell’elenco dei professionisti autorizzati al rilascio del visto di

conformità.

2. Nelle giornate del 20 ottobre 2021 e del 22 novembre 202 veniva effettuata una ispezione presso i locali del suo ufficio da personale dell’Ufficio Audit della Direzione Regionale dell’Agenzia delle Entrate dell’Emilia-Romagna, al fine di verificare l’attività del dott. -OMISSIS-negli anni dal 2018 al 2021, e in particolare al fine di verificare quale «intermediario» la conformità del suo operatore alle disposizioni del D.P.R. 22 luglio 1998 n. 322 e del Decreto Dirigenziale 31 luglio 1998, nonché per analizzare la capacità di presidio e prevenzione dei rischi, individuare e rimuovere eventuali carenze ed inefficienze, verificare la sussistenza dei requisiti soggettivi e oggettivi, delle modalità organizzative e, in generale, della regolarità del comportamento tenuto dal professionista abilitato all’attività di assistenza fiscale, a norma del Decreto Legislativo 9 luglio 1997 n. 241 e del Decreto Ministeriale 31 Maggio 1999 n. 16.

3. All’esito dell’attività ispettiva con provvedimento prot. n. 25272 del 5 aprile 2023, la Direttrice Regionale dell’Agenzia delle Entrate dell’Emilia-Romagna disponeva nei confronti del dott.

-OMISSIS--OMISSIS-la revoca dell’abilitazione al servizio telematico Entratel e l’inibizione della facoltà di rilasciare il visto di conformità. A motivo della revoca il provvedimento deduceva che il dott. -OMISSIS-consentiva l’accesso al servizio in questione a una dipendente del suo studio professionale, in assenza di un formale accreditamento di tale persona nel sistema Entratel quale “gestore” o “operatore” incaricato. L’inibizione della facoltà di rilasciare il visto di conformità veniva invece motivata quale conseguenza della revoca dell’abilitazione al servizio telematico, posto che l’esercizio di tale facoltà postula l’abilitazione alla trasmissione telematica.

4. Il dott. -OMISSIS-impugnava l’indicato provvedimento innanzi al Tribunale Amministrativo Regionale per l’Emilia Romagna, sede di Parma, che accoglieva il ricorso, annullando il provvedimento impugnato.

4.1. Il TAR riteneva di poter accogliere il ricorso sul rilievo dirimente che le circostanze di fatto poste a base del provvedimento impugnato non legittimavano la revoca dell’abilitazione al servizio telematico: il TAR, pur dando atto del fatto che, secondo la normativa di riferimento, la revoca avrebbe potuto essere disposta anche nel caso di mancato rispetto dell’art. 11 del Decreto del Ministero delle Finanze 31 luglio 1998 e per ogni altra grave violazione degli obblighi di riservatezza e sicurezza stabiliti dalla Legge 31 dicembre 1996, n. 675, ora sostituita dal Decreto Legislativo 30 giugno 2003, n. 196 (art. 8, comma 1, lettera h), del Decreto del Ministero delle Finanze 31 luglio 1998), osservava che l’accreditamento nel sistema Entratel dovesse ritenersi necessario solo per il titolare del trattamento dei dati – in questo caso il dott. -OMISSIS-- e non anche per il personale da lui dipendente e dallo stesso incaricato di operare nel sistema, personale che a norma dell’art 2 del DM 31 luglio 1998 doveva qualificarsi come semplice “incaricato” dal “titolare” dal “responsabile” del trattamento de dati personali. Di conseguenza, la mancanza dell’abilitazione della dipendente del dott. -OMISSIS-al sistema Entratel, quale “gestore” o “operatore” incaricato , veniva ritenuta dal TAR circostanza in sé non idonea a determinare la violazione degli obblighi di riservatezza. Il TAR rilevava, inoltre, che l’Amministrazione avrebbe dovuto, piuttosto, verificare la sussistenza (o meno) di un atto di designazione della dipendente, da parte del professionista “titolare”, quale persona “incaricata” del trattamento dei dati personali, e solo ove avesse rilevato l’assenza di una formale designazione avrebbe ragionevolmente potuto (dovuto) dedurne la violazione degli obblighi di riservatezza. L’Amministrazione, nel caso di specie, non aveva accertato specificamente tale circostanza, la cui assenza non poteva trarsi dalla constatata mancanza di accreditamento della stessa al servizio Entratel.

5. Avverso tale decisione ha proposto appello l’Agenzia delle Entrate.

6. Il dott. -OMISSIS-si é costituito in giudizio insistendo per la reiezione del gravame, senza riproporre i motivi di primo grado.

7. La causa è stata chiamata alla pubblica udienza del 5 marzo 2026, in occasione della quale, previo scambio di memorie ex art. 73 c.p.a., è stata trattenuta in decisione.

8. L’appello è affidato ai seguenti motivi.

8.1. Con il primo motivo l’Agenzia delle Entrate deduce l’erroneità dell’appellata sentenza per violazione e falsa applicazione degli artt. 8 e 11 del decreto del Ministero delle Finanze del 31 luglio 1998 e del provvedimento del Direttore dell'Agenzia delle Entrate del 10 giugno 2009, degli artt. 4 e 29 del decreto legislativo 30 giugno 2003, n. 196, nella parte in cui ha affermato che la mancata registrazione della dipendente dell’appellato nel sistema Entratel non escludeva che questa fosse effettivamente incaricata del trattamento dei dati, da parte del dott. -OMISSIS-.

L’Agenzia rileva che la circolare del Direttore del 10 giugno 2009 sancisce la necessità che i nominativi dei soggetti incaricati del trattamento dei dati personali degli utenti siano comunicati all’Agenzia secondo due modalità, ovvero o attraverso una funzione unzione disponibile sul sito dei servizi telematici, dedicata ai rappresentanti legali o negoziali, persone fisiche, registrati in anagrafe tributaria, oppure presentando presso gli uffici dell'Agenzia un apposito modulo: in esito a tale procedura all’incaricato vengono fornite le credenziali per accedere al sistema, distinte da quelle fornite al titolare del trattamento dei dati. La registrazione viene richiesta per la ragione che la trasmissione delle dichiarazioni fiscali richiede l’accesso e il trattamento dei dati personali degli utenti interessati, ai quali devono essere prestate garanzie di riservatezza e sicurezza. Nel caso di specie il dott. -OMISSIS-non ha espletato la procedura per registrare la propria dipendente quale incaricato al trattamento dei dati dei clienti, conseguentemente la stessa accedeva al sistema utilizzando le credenziali del dott. -OMISSIS-.

8.2. Con il secondo motivo l’Agenzia impugna la statuizione del primo giudice che ha ritenuto illegittima l’inibizione della facoltà di rilasciare il vizio di conformità in conseguenza.

Il TAR avrebbe errato nel ritenere che dall’illegittimità della revoca dell’abilitazione al servizio telematico conseguisse automaticamente anche l’illegittimità della inibizione della facoltà di rilasciare il visto di conformità, posto che l'art. 35, comma 3, del d.lgs. n. 241/97 presuppone necessariamente l'abilitazione alla trasmissione telematica delle dichiarazioni, talché la revoca all'abilitazione al servizio telematico Entratel non può che travolgere in ogni caso, ipso iure e ipso facto, anche l'abilitazione alla facoltà di rilascio del visto di conformità.

Il TAR avrebbe anche errato nell’affermare che l’inibizione della facoltà di rilasciare il visto di conformità costituisce una sanzione irrogata in violazione del principio di gradualità delle sanzioni, enunciato all’art. 49 del D. L.vo n. 241/97: nel caso di specie, infatti, la sanzione terrebbe conto della esistenza di gravi e ripetute violazioni delle disposizioni in materia tributaria e contributiva contestate in passato al dott. -OMISSIS-, in particolare in relazione a un caso di apposizione del visto in modo infedele. Peraltro, non si tratterebbe neppure di una sanzione, ma di una revoca, determinata dall’accertato venir meno dei requisiti necessari per poter esercitare la facoltà.

8.3. I due motivi sono complementari e possono essere esaminati congiuntamente: essi sono fondati.

8.4. Costituendosi nel giudizio d’appello il dott. -OMISSIS-ha sostenuto che la Circolare del Direttore dell’Agenzia delle Entrate del 10 giugno 2009 n. 79952, richiamata nel provvedimento impugnato, oltre a non essere stata prodotta in giudizio non sarebbe applicabile alle persone fisiche quale è il ricorrente. Inoltre nel caso di specie l’accesso al sistema Entratel è stato dato, dal dott. -OMISSIS-ad una propria impiegata, e non ad un terzo estraneo allo studio professionale da lui diretto, pertanto il caso si caratterizzerebbe per elementi di fatto diversi da quelli valutati nel precedente di questo Consiglio di Stato n. 2439/2020.

8.5. I fatti posti a fondamento degli atti impugnati non sono contestati dal dott. -OMISSIS-, che neppure contesta l’esistenza della Circolare del Direttore dell’Agenzia delle Entrate del 10 giugno 2009 e il relativo contenuto, limitandosi ad eccepire che non è stata prodotta in giudizio. Va sottolineato, a tale proposito, che nel ricorso di primo grado il dott. -OMISSIS-affermava, relativamente alla circolare del Direttore dell’Agenzia n. 79952 del 10 giugno 2009, che “ il Provvedimento 10/6/2009 (il cui contenuto non è dato conoscere integralmente e, per quanto si dirà in prosieguo, neppure può costituire presupposto per l’applicazione della sanzione in esame) sulla base di quanto riportato alle pg. 16 e 17 del verbale dell’Ufficio Audit, nel fare riferimento agli “operatori incaricati”, individua tali figure nelle persone fisiche, autonomamente abilitate ai servizi telematici, che sono designate dagli utenti diversi dalle persone fisiche abilitate a Entratel o a Fisconline, o dagli utenti persone fisiche abilitate al servizio Entratel che ne ravvisano l’esigenza, ad operare in nome e per conto dei suddetti utenti sui predetti servizi .”. Si tratta, come si vede, di una difesa che non mette in dubbio l’esistenza della indicata circolare né il fatto che essa contenga le previsioni specificamente richiamate nel provvedimento impugnato, previsioni secondo cui anche gli operatori incaricati debbono essere personalmente abilitati al servizio Entratel registrandosi attraverso l’apposita funzione disponibile sul sito web oppure consegnando l’apposito modulo debitamente compilato, e poi utilizzando delle credenziali ad essi appositamente rilasciate.

8.6. L’appellante sostiene, invece, che tali previsioni sarebbero applicabili solo a società o altri enti privati o pubblici, e non anche alle persone fisiche come un libero professionista: secondo l’appellato (cfr. ricorso di primo grado, pag. 8), “ la distinzione ha un senso se si considera che in una società od ente molteplici possono essere le persone dotate di potere rappresentativo nei diversi settori di attività e, pertanto, è necessario individuare, con provvedimenti formali, il/i soggetto/i incaricato/i il che si accompagna al divieto di utilizzo di credenziali generiche. Tale esigenza non ricorre invece per le persone fisiche poiché non in possesso di credenziali generiche bensì personali, come tali del tutto idonee ad identificare il soggetto titolare del trattamento dei dati. L’estensione alle persone fisiche di tale previsione è indebita, tant’è che lo stesso provvedimento prevede che tale modalità organizzativa possa essere da loro utilizzata se ed in quanto le stesse ne ravvisano la necessità .”

8.6.1. A prescindere dalla circostanza che non è chiaro se l’appellato si riferisca alle persone giuridiche di professionisti incaricate di dare assistenza fiscale, ovvero alle persone giuridiche che richiedono l’assistenza fiscale e a tal fine incaricano altri soggetti, il Collegio rileva che, proprio per il fatto che l’appellato non ha prodotto in giudizio l’indicata circolare, non si comprende come, e sulla base di quali elementi, si possa stabilire e affermare che quella indicata dall’appellato sia la corretta interpretazione della richiamata Circolare.

8.6.2. Si deve poi soggiungere che la circolare del 10 giugno 2009 è stata richiamata con tutti gli estremi nel provvedimento impugnato: l’appellato, quindi, era sicuramente in condizione di acquisire conoscenza integrale di tale atto mediante accesso, per poi produrlo in giudizio. Il fatto che tale atto non sia stato prodotto in giudizio non esclude, quindi, che esso possa costituire valido fondamento del provvedimento impugnato, né impedisce al Collegio di tenerne conto, posto che – come già precisato – l’appellante non ne ha disconosciuta l’esistenza, e non ha allegato che abbia un contenuto testuale diverso da quello riportato nel provvedimento impugnato. Da ultimo merita evidenziare che l’appellata sentenza riporta ampi stralci di tale Circolare, e anche su questo punto l’appellato nulla ha contestato.

8.7. L’interpretazione della Circolare del 10 giugno 2009 accreditata dall’appellato, peraltro, non pare ragionevole. Infatti il Collegio non vede ragione per la quale l’Agenzia delle Entrate dovrebbe aver consentito a minori formalità nel trattamento dei dati degli utenti, qualora il titolare del trattamento dei dati sia un professionista persona fisica. Accedendo alla tesi dell’appellato, infatti, qualsiasi persona da quest’ultimo incaricata, anche informalmente e con atto privo di data certa e di firma autenticata, sarebbe legittimata ad accedere al sistema Entratel utilizzando le credenziali del titolare del trattamento dei dati, sebbene una tale situazione aumenti esponenzialmente i rischi di diffusione indebita dei dati personali dei contribuenti: invero, a prescindere dalla considerazione che un tale sistema si presta facilmente ad abusi, in relazione alla possibile falsificazione dell’atto di designazione cartaceo, è evidente che in questo modo gli accessi che vengono registrati dal sistema non possono che riferirsi al titolare del trattamento dei dati, del quale vengono utilizzate le credenziali, così che diventa estremamente difficile individuare i responsabili di eventuali accessi abusivi posti in esse dal singolo incaricato ( id est : accessi effettuati per finalità diverse da quelle indicate nell’atto di designazione) o da soggetti terzi ai quali quest’ultimo abbia abusivamente ceduto le credenziali. Il sistema di accreditamento richiamato nel provvedimento impugnato, richiedendo che l’incaricato acceda al sistema con proprie credenziali, le quali vengono rilasciate in virtù del rapporto contrattuale esistente tra questi e il titolare del trattamento dei dati, assicura che nessuno possa accedere al sistema senza un titolo preventivamente verificato e senza essere identificato personalmente, e ciò indubbiamente minimizza il rischio di una indebita propalazione o manipolazione dei dati personali dei contribuenti.

8.8. Quanto sopra trova conferma negli stralci della Circolare n. 79952 del 10 giugno 2009 richiamati nel provvedimento impugnato, che riporta la definizione di “ gestori incaricati ” e di “ operatori incaricati ”: in ambedue le definizioni si afferma che si tratta di persone fisiche “ autonomamente abilitate ai servizi telematici ”, le prime per “ interagire con i servizi telematici in nome e per conto degli utenti abilitati a Entratel ”, le seconde per “ operare in nome e per conto dei suddetti utenti sui predetti servizi ”. Orbene, quale che sia la differenza tra le due figure, è comunque chiaro che entrambe debbono essere autonomamente abilitate ai servizi telematici.

8.9. L’appellata sentenza riporta per esteso il paragrafo 5 della Circolare del 10 giugno 2009 , per evidenziare che gli obblighi relativi alla riservatezza e alla sicurezza dei dati personali sono, da tale norma, assegnati a carico del “ titolare del trattamento dei dati ” o dei soggetti da questi designati come “ responsabili del trattamento dei dati ”: secondo il TAR l’impugnato provvedimento avrebbe indebitamente sovrapposto i concetti di “ gestore incaricato ” e “ operatore incaricato ”, con il concetto di “ responsabile designato del trattamento dei dati ”.

8.9.1. Tale affermazione non è corretta, in quanto nel provvedimento impugnato si afferma che il fatto che il dott. -OMISSIS-abbia consentito alla propria dipendente di operare nel sistema con le proprie credenziali, senza provvedere affinché essa fosse autonomamente abilitata, ha costituito una violazione valorizzabile quale fattore incidente sulla sicurezza e sulla riservatezza dei dati personali dei soggetti per conto dei quali il dott. -OMISSIS-operava nel sistema come utente abilitato. E il dott. -OMISSIS-, in qualità di “ titolare del trattamento dei dati personali ”, certamente era destinatario degli obblighi indicati all’art. 11 del d.m. 31 luglio 1998.

8.9.2. Il fatto, poi, che nella stessa Circolare (del 10 giugno 2009) siano stati disciplinati sia gli obblighi relativi al trattamento dei dati personali che quelli relativi all’abilitazione dei “ gestori incaricati ” e degli “ operatori incaricati ” è indicativa del fatto che l’Agenzia delle Entrate ha considerato l’accesso a Entratel quale fattore di rischio tipico nell’attività di trattamento dei dati personali dei contribuenti.

8.10. Per le considerazioni che precedono il Collegio ritiene che il provvedimento impugnato, laddove imputa al dott. -OMISSIS-la violazione degli obblighi di riservatezza e sicurezza dei dati, di cui all’art. 11 del D.M. 31 luglio 1988, é correttamente motivato con riferimento alla Circolare del Direttore dell’Agenzia delle Entrate n. 79952 del 10 giugno 2009 e alla circostanza che l’appellato ha consentito alla propria impiegata di operare nel sistema Entratel con le proprie credenziali personali, e ciò per quattro annualità (come ammesso dal dott. -OMISSIS-in audizione).

8.11. L’art. 8 del citato D.M. 31 luglio 1988, poi, prevede espressamente che l’abilitazione al servizio telematico possa essere revocata in caso di gravi e ripetute inadempiente agli obblighi derivanti dal medesimo DM, tra cui la violazione degli obblighi di riservatezza e sicurezza contemplati nell’art. 11: le ripetute e gravi violazioni sono, appunto, da individuarsi nel fatto che per quattro anni - per tale motivo ripetutamente - l’appellato ha messo a repentaglio la sicurezza dei dati personali dei contribuenti da lui assistiti, da una parte consentendo ad altra persona di entrare in Entratel, d’altra parte omettendo di adottare una misura dovuta (cioè l’accreditamento di tale persona).

8.12. Quanto all’inibizione della facoltà di rilasciare il visto di conformità, la revoca dell’abilitazione ad operare in Entratel costituisce un evento da solo sufficiente a giustificare tale inibizione, indipendentemente dalla violazione contestata all’appellato nel 2014: l’art. 35, comma 3, del D. L.vo n. 241/1997, infatti, attribuisce la facoltà di rilasciare il visto di conformità su richiesta dei contribuenti ai “ soggetti indicati alle lettere a) e b), del comma 3 dell'articolo 3 del decreto del Presidente della Repubblica 22 luglio 1998, n. 322, abilitati alla trasmissione telematica delle dichiarazioni, …”, sicché è evidente che tale facoltà non può essere esercitata dal professionista che non sia abilitato alla trasmissione telematica delle dichiarazioni fiscali.

9. In conclusione, l’appello è fondato; per l’effetto l’appellata sentenza deve essere riformata, con respingimento del ricorso di primo grado.

10. Sussistono giusti motivi per compensare le spese del doppio grado.

P.Q.M.

Il Consiglio di Stato in sede giurisdizionale (Sezione Sesta), definitivamente pronunciando sull'appello, come in epigrafe proposto, lo accoglie; per l’effetto, in totale riforma della sentenza del Tribunale Amministrativo Regionale per l’Emilia Romagna, sede di Parma, 196/2024, respinge il ricorso di primo grado.

Compensa tra le parti le spese del doppio grado.

Ordina che la presente sentenza sia eseguita dall'autorità amministrativa.

Ritenuto che sussistano i presupposti di cui all'articolo 52, commi 1 e 2, del decreto legislativo 30 giugno 2003, n. 196, e dell’articolo 9, paragrafo 1, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, a tutela dei diritti o della dignità della parte interessata, manda alla Segreteria di procedere all'oscuramento delle generalità nonché di qualsiasi altro dato idoneo ad identificare la parte ricorrente e i soggetti citati nel provvedimento.

Così deciso in Roma nella camera di consiglio del giorno 5 marzo 2026 con l'intervento dei magistrati:

NO LA, Presidente FF

Davide Ponte, Consigliere

Lorenzo Cordi', Consigliere

Thomas Mathà, Consigliere

BE AV, Consigliere, Estensore

L'RE	IL PRESIDENTE
BE AV	NO LA

IL SEGRETARIO