Antiriciclaggio, sanità e socio-sanitario: la compliance come presidio di integrità della spesa pubblica
Profili di responsabilità civile e organizzativa per Aziende sanitarie, ATS/ASST, enti gestori e strutture accreditate
In occasione del convegno “Antiriciclaggio, rischi corruttivi e trasparenza: profili di responsabilità civile, penale, giuslavoristica e amministrativa-contabile. Il ruolo del RPCT”, svoltosi a Monza l’8 maggio 2026, l’Avv. Paolo Franco, Founder dello Studio Legale HWP – Health Wealth Pharma, è intervenuto sul tema dei profili di responsabilità civile e organizzativa in materia di antiriciclaggio, con particolare riferimento al settore sanitario e socio-sanitario.
Il taglio dell’intervento non è stato quello di una ricostruzione generale della normativa antiriciclaggio, ma di una lettura operativa per il mondo sanitario: dove nasce il rischio, quali obblighi gravano sulla Pubblica Amministrazione, quali responsabilità possono derivare dall’inerzia e quali presidi consentono di proteggere l’azione amministrativa senza alimentare burocrazia difensiva.
Nel sanitario l’antiriciclaggio non è un tema bancario
Quando si parla di antiriciclaggio si pensa, normalmente, a banche, intermediari finanziari, professionisti, adeguata verifica della clientela e movimentazione del denaro. Questa prospettiva è corretta, ma nel settore pubblico sanitario non è sufficiente.
Nel mondo sanitario e socio-sanitario il rischio di riciclaggio non entra necessariamente dalla porta del contante o dello schema finanziario tradizionale. Può entrare dalla porta della spesa pubblica, dell’accreditamento, dell’appalto, della convenzione, del contributo, del rimborso, della subfornitura, della società formalmente regolare ma sostanzialmente opaca.
L’antiriciclaggio sanitario deve quindi essere inteso come presidio di integrità della funzione amministrativa e della corretta destinazione delle risorse pubbliche destinate alla cura, all’assistenza e alla presa in carico delle persone fragili.
La Pubblica Amministrazione sanitaria non deve sostituirsi agli organi investigativi, non deve accertare il reato e non deve svolgere attività di polizia giudiziaria. Deve però saper vedere, valutare e, quando necessario, comunicare gli elementi di anomalia che emergono nell’esercizio delle sue funzioni istituzionali.
Dal controllo formale al presidio sostanziale
Il passaggio decisivo è quello dal controllo meramente formale al presidio sostanziale.
Il controllo formale verifica se i documenti ci sono, se i moduli sono completi, se i requisiti sono dichiarati. Il presidio sostanziale si chiede invece se quei documenti siano coerenti, credibili e compatibili con l’operazione richiesta.
Nel settore sanitario questo significa verificare, con metodo e proporzionalità, assetti proprietari, titolarità effettiva, governance, flussi economici, subappalti, qualità ed effettività della prestazione, rapporti con fornitori, beneficiari, fondazioni, enti gestori e soggetti collegati.
Una struttura può presentare documentazione formalmente completa e, tuttavia, mostrare indici di rischio: recente cambio di proprietà non spiegato, catena societaria opaca, titolare effettivo non chiaro, canoni infragruppo anomali, consulenze ricorrenti, subappalti a società neo-costituite, personale non coerente con i volumi dichiarati.
Nessuno di questi elementi, preso isolatamente, prova il riciclaggio. La loro combinazione, però, può imporre una valutazione antiriciclaggio seria, documentata e tracciabile.
Le aree sensibili nel sanitario e nel socio-sanitario
La mappatura del rischio rappresenta il primo presidio organizzativo. Nel settore sanitario e socio-sanitario le aree sensibili sono numerose e ricorrenti.
L’accreditamento e il convenzionamento rappresentano l’ingresso stabile nel circuito pubblico: requisiti, assetti proprietari, governance e titolare effettivo sono elementi essenziali.
Gli appalti coinvolgono servizi sanitari, pulizie, ristorazione, ICT, manutenzioni, forniture critiche, farmaci e dispositivi medici. I contributi e i finanziamenti pubblici riguardano enti del terzo settore, strutture private, progetti territoriali, PNRR e innovazione.
RSA, ADI e servizi per la fragilità espongono l’ente a rischi peculiari: rimborsi, voucher, presa in carico domiciliare, controlli di effettività e continuità assistenziale.
Sponsorizzazioni, donazioni, fondazioni, ricerca clinica ed eventi formativi aprono, infine, il tema dei conflitti di interesse e dei flussi economici indiretti.
Queste aree non sono rischiose perché illegittime. Sono rischiose perché uniscono tre fattori: risorse pubbliche, pluralità di operatori e difficoltà di controllo sostanziale.
La cornice normativa: D.Lgs. 231/2007, UIF e sistema anticorruzione
Il riferimento centrale è il D.Lgs. 21 novembre 2007, n. 231, e in particolare l’art. 10, che attribuisce agli uffici delle Pubbliche Amministrazioni un ruolo di collaborazione attiva in relazione ai dati e alle informazioni concernenti operazioni sospette apprese nello svolgimento dell’attività istituzionale.
Per le Pubbliche Amministrazioni restano centrali le istruzioni UIF del 23 aprile 2018, adottate ai sensi dell’art. 10 del D.Lgs. 231/2007. Esse chiariscono che la comunicazione riguarda operazioni sospette conosciute nell’esercizio dell’attività istituzionale, deve essere effettuata a prescindere dalla rilevanza e dall’importo dell’operazione e deve fondarsi su una valutazione compiuta degli elementi oggettivi e soggettivi acquisiti dall’ufficio.
Il quadro deve essere integrato con gli indicatori UIF del 12 maggio 2023, applicabili dal 1° gennaio 2024, e con la Comunicazione UIF del 31 marzo 2026 in materia di agevolazioni e contratti pubblici, particolarmente rilevante per le aree di spesa e affidamento pubblico.
Il collegamento con la L. 190/2012 e con il ruolo del RPCT è altrettanto importante. Appalti, autorizzazioni, concessioni, accreditamenti e contributi sono spesso le medesime aree sensibili. Diversa, però, è la funzione preventiva: l’anticorruzione presidia il rischio di deviazione della funzione pubblica; l’antiriciclaggio presidia il rischio di utilizzo del circuito economico e amministrativo per finalità di riciclaggio o finanziamento del terrorismo.
Gli obblighi della PA sanitaria: vedere, valutare, comunicare
Gli obblighi della Pubblica Amministrazione sanitaria possono essere condensati in tre verbi: vedere, valutare, comunicare.
Vedere significa mappare i procedimenti esposti: appalti, concessioni, autorizzazioni, contributi, accreditamenti e convenzionamenti.
Valutare significa svolgere un’analisi concreta degli elementi oggettivi e soggettivi già disponibili nel fascicolo, senza pretendere prove penali ma senza fermarsi alla sola apparenza documentale.
Comunicare significa attivare il canale interno e, tramite il Gestore, trasmettere alla UIF i dati e le informazioni rilevanti quando il sospetto è qualificato.
La comunicazione UIF è distinta dalla denuncia penale: intercetta il sospetto, non accerta il reato. Questo aspetto è decisivo. L’omissione non può essere giustificata semplicemente affermando che non vi fosse la prova del reato, perché la prova del reato non è richiesta. La domanda corretta è un’altra: l’amministrazione disponeva di elementi sufficienti per attivare una valutazione antiriciclaggio?
Indicatori di anomalia nel settore sanitario
Gli indicatori di anomalia non sono una checklist meccanica. La presenza di un indicatore non impone automaticamente la comunicazione alla UIF; allo stesso tempo, l’assenza di un indicatore tipizzato non esclude il sospetto. Serve una valutazione complessiva, prudente, proporzionata e documentabile.
Nel sanitario gli indicatori assumono una declinazione specifica.
Il soggetto opaco può essere rappresentato da una catena societaria complessa, da una fiduciaria, da un trust, da una sede in territori a rischio o da un titolare effettivo non chiaro.
I documenti incongrui possono consistere in bilanci non coerenti, DURC o dichiarazioni ripetutamente rettificate, contratti retrodatati o documentazione amministrativa prodotta in modo frammentario.
L’operatività illogica può emergere da prezzi fuori mercato, urgenze artificiose, frazionamenti, subappalti non giustificati o condizioni economiche incompatibili con la prestazione.
Rilevano inoltre le relazioni sensibili: persone politicamente esposte, familiari, soggetti con precedenti o collegamenti con imprese interdette.
I flussi atipici possono assumere la forma di anticipazioni, cessioni di credito, pagamenti verso terzi non coinvolti nella prestazione, consulenze infragruppo o canoni amministrativi sproporzionati.
Infine, nel sanitario è essenziale il rapporto tra qualità e costi: prestazioni dichiarate non coerenti con personale, dotazioni, autorizzazioni e volumi possono costituire un indice rilevante.
Gestore, RPCT e Direzioni: la filiera interna della responsabilità
La responsabilità si governa con una filiera interna tracciabile.
L’ufficio procedente rileva l’anomalia. Il referente AML o la struttura competente raccoglie gli elementi. Il Gestore valuta ed eventualmente comunica alla UIF. Il RPCT assicura il coordinamento con la prevenzione della corruzione. Le Direzioni garantiscono risorse, formazione e autorevolezza istituzionale.
Il Gestore non è una figura ornamentale. È lo snodo che consente all’amministrazione di trasformare una anomalia percepita in una valutazione tecnica e, se necessario, in una comunicazione protetta.
Nominarlo formalmente non basta. Occorre che gli uffici sappiano quando coinvolgerlo, con quali documenti, attraverso quale canale e con quale grado di riservatezza.
Il rischio maggiore, nelle organizzazioni complesse, è che l’anomalia resti prigioniera del fascicolo. Se un funzionario nota una incongruenza ma non sa a chi segnalarla, il sistema fallisce. Se il Gestore riceve comunicazioni informali, prive di documentazione, il sistema fallisce. Se RPCT, Gestore, uffici contratti, accreditamento e controlli sanitari lavorano separatamente, il sistema vede solo frammenti del rischio.
La migliore difesa del funzionario non è l’inerzia. È la tracciabilità.
Responsabilità civile: nessun automatismo, ma attenzione al deficit organizzativo
La violazione degli obblighi antiriciclaggio può diventare fatto generatore di danno, ma sul piano civilistico occorre evitare automatismi.
L’art. 2043 c.c. resta il fondamento generale: condotta illecita o negligente, danno ingiusto, nesso causale, dolo o colpa. Tutti questi elementi devono sussistere e devono essere provati.
Non ogni mancata comunicazione genera responsabilità risarcitoria. Occorre dimostrare che l’omissione abbia contribuito causalmente alla produzione o all’aggravamento del danno.
Nel settore sanitario e socio-sanitario il rischio antiriciclaggio non si coglie, di regola, guardando un solo atto isolato: una determina, una convenzione, una fattura o un singolo pagamento. Più spesso emerge dalla lettura complessiva del soggetto che entra in rapporto con la PA sanitaria: chi lo controlla realmente, chi ne è il titolare effettivo, come è strutturata la governance, chi esegue concretamente le prestazioni, se vi sono subappalti o società collegate, dove si dirigono i flussi economici e se i costi dichiarati sono coerenti con la capacità organizzativa e con il servizio reso.
Proprio perché il rischio emerge dal collegamento di più elementi, la domanda successiva riguarda l’organizzazione della PA: l’amministrazione era strutturata per intercettare, mettere in relazione e valutare questi segnali? Aveva mappato i procedimenti più esposti? Aveva una procedura interna chiara? Il Gestore era individuato e realmente operativo? Gli uffici erano formati? Le valutazioni venivano tracciate?
Se la risposta è negativa, il problema non riguarda soltanto l’eventuale errore del singolo funzionario. Può emergere un deficit organizzativo dell’amministrazione: non perché la PA avrebbe dovuto scoprire il riciclaggio, ma perché non si è dotata di una filiera minima capace di vedere, collegare e documentare anomalie già presenti nei propri fascicoli.
Responsabilità erariale: il rischio più concreto
Il terreno più concreto è spesso quello della responsabilità erariale.
Se l’omessa valutazione, l’istruttoria carente o la mancata comunicazione consentono l’erogazione di somme non dovute, il mantenimento di un rapporto con un soggetto privo dei requisiti sostanziali o il mancato recupero di fondi pubblici, la vicenda può uscire dalla sola compliance e diventare danno alla finanza pubblica.
Nel sanitario il danno non è soltanto la somma indebitamente erogata. Può includere costi di sostituzione del fornitore, costi per garantire la continuità assistenziale, contenzioso, revoche, rimborsi, perdita di fondi e danno reputazionale.
Se una struttura accreditata si rivela non affidabile, l’amministrazione deve spesso intervenire non solo per recuperare le somme, ma per proteggere pazienti, famiglie e continuità del servizio.
Riflessi del D.Lgs. 231/2001 sui partner della PA
La Pubblica Amministrazione, in quanto tale, non è destinataria tipica della responsabilità da reato degli enti ai sensi del D.Lgs. 231/2001.
Tuttavia, i suoi partner spesso lo sono: società pubbliche, enti pubblici economici, soggetti privati accreditati, affidatari, cooperative, fondazioni, gruppi societari, società veicolo.
La PA sanitaria non deve applicare a sé stessa un modello 231 come se fosse una società privata; deve però valutare con diligenza i propri partner.
Un partner privo di adeguati presidi 231, antiriciclaggio, anticorruzione, titolarità effettiva chiara e reputazione verificabile può rappresentare un rischio contrattuale, reputazionale e contabile.
Per questo, nei rapporti con strutture accreditate, fornitori e gestori di servizi, assumono rilievo clausole di legalità, obblighi informativi, audit, verifiche su titolare effettivo, subappalti, interdittive, conflitti di interesse e presidi organizzativi.
Un caso pratico sanitario
Si immagini una ATS o una ASST che gestisce una procedura di accreditamento e convenzionamento con una struttura socio-sanitaria privata, seguita dall’erogazione di budget pubblico.
La struttura presenta formalmente la documentazione richiesta. Tuttavia, nel fascicolo emergono più indici: recente cambio di proprietà, titolare effettivo non chiaro, catena societaria opaca, canoni infragruppo anomali, fatture per servizi consulenziali ricorrenti, subappalti a società neo-costituite e personale inferiore ai volumi dichiarati.
Nessuno di questi elementi, preso isolatamente, prova il riciclaggio. Ma la loro combinazione impone una valutazione antiriciclaggio seria.
L’ufficio procedente non deve arrestare automaticamente il procedimento. Deve però documentare l’anomalia, coinvolgere il Gestore, acquisire chiarimenti pertinenti, valutare la coerenza economica e organizzativa e decidere se ricorrono i presupposti per la comunicazione alla UIF.
Se l’amministrazione omette ogni valutazione, procede all’accreditamento, eroga budget e successivamente emerge che la struttura era utilizzata come veicolo per canalizzare risorse verso società interposte, si aprono più profili: revoca o riesame degli atti, recupero somme, contenzioso con concorrenti o utenti, danno erariale e responsabilità disciplinari o organizzative.
La domanda centrale non sarà se il funzionario avesse scoperto il reato. La domanda sarà se, alla luce dei dati disponibili, il funzionario avrebbe dovuto attivare il Gestore e documentare una valutazione antiriciclaggio.
Giurisprudenza e principio di proporzionalità
Nei materiali esaminati non risulta un precedente giurisprudenziale specificamente sanitario in materia di antiriciclaggio.
È stato tuttavia richiamato, con finalità prudenziale e sistematica, il principio espresso dalla Corte d’Appello di Roma, Sezione I, 26 novembre 2025, n. 7051, in materia di adeguata verifica. Il precedente non riguarda il settore sanitario, ma conferma un principio utile: gli obblighi antiriciclaggio devono essere calibrati sul rischio concreto e la valutazione deve essere proporzionata alla natura dell’operazione, al profilo del soggetto e agli elementi disponibili.
Il principio evita una lettura meramente formalistica dell’antiriciclaggio. Un errore materiale o una carenza formale, in assenza di indicatori oggettivi di anomalia o incoerenza, non bastano necessariamente a fondare una violazione.
Ma il principio opera anche in senso opposto. Se nel fascicolo sanitario emergono più indici coerenti — governance opaca, subappalti anomali, flussi verso terzi, volumi non coerenti con personale e dotazioni — l’amministrazione non può rifugiarsi nella completezza formale dei documenti.
Proporzionalità non significa superficialità. Semplificazione non significa omissione. Assenza di automatismi non significa assenza di dovere valutativo.
Quando l’omissione diventa colpa grave?
La risposta non è meccanica. Occorre distinguere.
Un indicatore isolato impone attenzione, non automatismo. Se, ad esempio, una RSA cambia amministratore unico poco prima del rinnovo della convenzione, il dato merita verifica, ma può avere spiegazioni fisiologiche. La condotta diligente consiste nell’aggiornare la visura, verificare l’assetto societario e la titolarità effettiva, annotare l’esito e motivare l’eventuale decisione di non attivare la comunicazione.
Il quadro cambia quando più anomalie raccontano la stessa storia: recente cambio di proprietà, titolare effettivo non chiaro, subappalto a società neo-costituita, canoni infragruppo elevati, personale insufficiente rispetto ai volumi dichiarati. In questo caso non basta dire che la documentazione è completa. L’ufficio deve coinvolgere il Gestore e motivare l’esito.
Se l’ente ha adottato una procedura antiriciclaggio, ha nominato il Gestore, ha formato il personale e ha chiarito quando attivare la filiera, l’omissione è molto meno difendibile. La procedura, se conosciuta e ignorata, diventa essa stessa parametro della colpa.
Il danno irreversibile, infine, non sostituisce la prova della responsabilità, ma aggrava il quadro. Se una struttura riceve budget pubblici, poi emerge una sovrafatturazione con flussi verso società collegate e la struttura risulta insolvente, il punto non è solo che il denaro non si recupera. Il punto è se, prima dell’erogazione, esistevano indici tali da imporre l’attivazione della filiera antiriciclaggio.
Best practices: cinque presidi operativi
Le best practices servono a rendere ordinaria una materia che, altrimenti, rischia di emergere solo quando il problema si è già verificato.
Il primo presidio è una mappatura antiriciclaggio distinta ma coordinata con anticorruzione. Non basta affermare che il rischio è già presidiato dal PIAO: anticorruzione e antiriciclaggio guardano procedimenti spesso identici, ma da prospettive diverse.
Il secondo presidio è una procedura semplice: chi rileva l’anomalia, a chi la trasmette, con quale canale, con quali documenti, in quali tempi, con quale livello di riservatezza.
Il terzo presidio è una formazione concreta, costruita su casi sanitari: accreditamenti, RSA, ADI, appalti, farmaci, dispositivi, PNRR, donazioni e subappalti.
Il quarto presidio è una checklist minima per i procedimenti sensibili: titolare effettivo, PEP, struttura proprietaria, coerenza economica, subappalti, flussi verso terzi, precedenti interdittivi, qualità e capacità operativa.
Il quinto presidio è un registro interno delle valutazioni e delle consultazioni del Gestore, non per creare ulteriore carta, ma per ricostruire ex post il percorso logico seguito.
La difesa migliore non è fare tutto. È dimostrare di aver fatto bene ciò che era esigibile nel caso concreto.
Risk assessment: rischio legale, economico, reputazionale e organizzativo
Il rischio antiriciclaggio nel settore sanitario e socio-sanitario deve essere valutato su più piani.
Sul piano legale possono emergere azioni risarcitorie, responsabilità erariale, responsabilità disciplinare, profili penali nei casi estremi e contenzioso su revoche, recuperi e risoluzioni.
Sul piano economico rilevano la perdita di fondi, il mancato recupero, i costi di sostituzione, i costi di continuità assistenziale, i maggiori oneri per contenzioso e audit.
Sul piano reputazionale vi è il rischio di perdita di fiducia da parte di Regione, utenti, famiglie, operatori corretti e mercato.
Sul piano organizzativo il rischio può assumere due forme opposte: paralisi difensiva, eccesso di burocrazia e demotivazione degli uffici; oppure sottovalutazione sistematica delle anomalie.
Nel sanitario il danno economico raramente resta solo contabile. Quando risorse pubbliche destinate alla cura vengono disperse o deviate, il danno incide anche sulla capacità concreta del sistema di garantire prestazioni, continuità assistenziale e protezione degli utenti fragili.
Conclusioni: l’antiriciclaggio sanitario è cultura del procedimento
L’antiriciclaggio sanitario è, prima di tutto, una cultura del procedimento.
Non si chiede alla Pubblica Amministrazione di sostituirsi agli organi investigativi. Si chiede di non ignorare ciò che il procedimento già mostra.
Vedere, valutare, tracciare, comunicare e proteggere non sono cinque adempimenti separati. Sono le fasi di una stessa cultura amministrativa.
La vera alternativa alla burocrazia difensiva non è l’assenza di controllo. È il controllo intelligente, proporzionato e documentato.
Nel sanitario questa cultura non tutela solo l’ente e i funzionari. Tutela le risorse destinate ai pazienti, agli utenti fragili, alle famiglie e agli operatori corretti.
È qui che il presidio antiriciclaggio cessa di essere un adempimento e diventa qualità della funzione pubblica.