KYS (Know Your Supplier): guida completa per verificare e proteggere i vostri fornitori

Il KYS, ovvero Know Your Supplier, è il processo con cui un'organizzazione verifica sistematicamente l'identità, la legittimità e l'affidabilità dei propri fornitori prima di avviare con essi una relazione commerciale. Mentre il KYC si applica ai clienti privati e il KYB ai clienti professionali, il KYS si concentra sull'altra estremità della catena: i vostri fornitori, subappaltatori e prestatori di servizi, verso i quali transitano i vostri pagamenti in uscita.

‍

Nel 2025, le frodi legate ai fornitori sono costate alle imprese europee oltre 3,5 miliardi di euro, secondo le stime dell'Association of Certified Fraud Examiners (ACFE). Queste perdite derivano da pratiche che vanno dalla creazione di fornitori fittizi alla falsificazione delle coordinate bancarie (IBAN), passando per sofisticate società di comodo. Di fronte a questo rischio, un processo KYS rigoroso non è più un'opzione per le organizzazioni che gestiscono volumi significativi di pagamenti in uscita.

‍

Cos'è il KYS?

‍

Il KYS è un insieme di procedure di due diligence applicate ai propri fornitori. Mira a rispondere a domande semplici ma critiche: questo fornitore esiste legalmente? È davvero chi afferma di essere? Le coordinate bancarie trasmesse gli appartengono realmente?

‍

A differenza del KYB, il cui obiettivo è principalmente quello di valutare il rischio regolatorio di un cliente professionale, il KYS è maggiormente orientato alla prevenzione delle frodi finanziarie e alla gestione dei rischi operativi. Copre tre grandi dimensioni: la verifica dell'identità giuridica del fornitore, l'autenticazione delle sue coordinate bancarie, e la valutazione continua del rischio per tutta la durata della relazione commerciale.

‍

Il KYS si inserisce inoltre in un preciso quadro normativo. Il D.Lgs. 231/2001 in materia di responsabilità amministrativa delle società impone alle imprese di presidiare i rischi legati ai terzi con cui operano. Le direttive AML europee (AML4, AML5, AML6) e la Corporate Sustainability Due Diligence Directive (CSDDD) estendono queste esigenze all'intera catena di approvvigionamento. Per le entità soggette agli obblighi antiriciclaggio (AML/CFT), la vigilanza si applica anche ai flussi in uscita.

‍

Le tipologie di frode sui fornitori

‍

La frode sui fornitori è polimorfa. Comprenderne le forme più comuni è il primo passo per proteggersi efficacemente.

‍

La frode del fornitore fittizio è una delle più diffuse. Un truffatore crea un'entità fittizia o usurpa l'identità di un fornitore legittimo per presentare fatture fraudolente. Approfittando di processi di validazione poco rigorosi, riesce a farsi pagare prestazioni inesistenti. Nel 2024, Euler Hermes stimava che questa forma di frode rappresentasse il 30% dei sinistri legati alle frodi interne in Europa.

‍

La frode alla modifica delle coordinate bancarie (IBAN) è forse la più sofisticata. Un aggressore intercetta o falsifica una richiesta di aggiornamento delle coordinate bancarie, sostituendo il vero IBAN del fornitore con quello di un conto sotto il proprio controllo. I bonifici successivi vengono dirottati su tale conto prima che la frode venga scoperta. Questo attacco avviene spesso tramite un'e-mail fraudolenta o una casella di posta compromessa.

‍

La frode del CEO (o Business Email Compromise, BEC) prende di mira direttamente i processi di pagamento. Un aggressore si spaccia per un dirigente dell'azienda e richiede un bonifico urgente verso un nuovo conto fornitore. La combinazione della pressione temporale e dell'apparente autorità del mittente riduce la vigilanza dei collaboratori coinvolti.

‍

Le società di comodo e i montaggi fraudolenti rappresentano una categoria più complessa. Un'azienda in apparenza legittima dissimula attività illecite: riciclaggio di denaro, elusione di sanzioni internazionali, finanziamento di strutture criminali. Per le organizzazioni soggette agli obblighi AML/CFT, stipulare contratti con questo tipo di fornitore senza la dovuta diligenza preliminare comporta una responsabilità normativa diretta.

‍

La frode interna per connivenza è spesso sottovalutata. Un dipendente crea un fornitore fittizio nel sistema ERP e valida egli stesso le fatture corrispondenti. Questo vettore di attacco sfrutta un controllo insufficiente della separazione delle funzioni.

‍

Il processo KYS: le fasi principali

‍

Un programma KYS efficace copre l'intero ciclo di vita del fornitore, dall'avvio della relazione al monitoraggio continuo.

‍

La verifica dell'identità giuridica costituisce il punto di ingresso: Codice Fiscale/Partita IVA, visura camerale, statuti societari, identificazione dei titolari effettivi. Queste informazioni devono essere incrociate con i registri ufficiali (Registro delle Imprese, CCIAA, Gazzetta Ufficiale) per rilevare eventuali incongruenze o procedure concorsuali in corso.

‍

La verifica delle coordinate bancarie (IBAN) è la fase più direttamente legata alla prevenzione delle frodi. Confermare che un IBAN corrisponda effettivamente al titolare dichiarato non può basarsi su un semplice controllo di formato. Ciò richiede una verifica attiva: tramite open banking o mediante conferma presso un interlocutore identificato indipendentemente dal canale della richiesta iniziale.

‍

Lo screening delle liste di sanzioni è indispensabile per qualsiasi organizzazione che gestisca pagamenti internazionali. I fornitori devono essere controllati all'ingresso della relazione e periodicamente nel tempo, poiché le liste OFAC, UE e ONU vengono aggiornate frequentemente.

‍

La valutazione del rischio e lo scoring sintetizzano l'insieme delle informazioni raccolte. Un punteggio fornitore tiene conto del paese di stabilimento, del settore di attività, dell'anzianità della struttura e dei segnali d'allarme rilevati. Determina il livello di diligenza da applicare: standard, rafforzata o rifiuto.

‍

Il monitoraggio continuo chiude il ciclo. Le informazioni di un fornitore possono cambiare: stato giuridico, dirigenti, coordinate bancarie. Un programma KYS maturo integra alert automatici attivati da qualsiasi cambiamento significativo.

‍

Il quadro normativo del KYS in Europa e in Italia

‍

In Italia e in Europa, diversi testi normativi inquadrano direttamente gli obblighi delle imprese nei confronti dei propri fornitori.

‍

Il D.Lgs. 231/2001 sulla responsabilità amministrativa delle società impone alle imprese di adottare modelli organizzativi e di gestione che includano procedure di controllo sui terzi con cui operano, al fine di prevenire i reati presupposto — tra cui corruzione, riciclaggio e frode.

‍

Le direttive AML europee (AML4, AML5, AML6) obbligano le entità soggette agli obblighi antiriciclaggio a effettuare una due diligence approfondita sui propri partner commerciali e a monitorare in modo continuativo le relazioni d'affari, inclusi i flussi di pagamento in uscita.

‍

La Corporate Sustainability Due Diligence Directive (CSDDD), adottata dall'UE nel 2024, impone alle grandi imprese di identificare, prevenire e mitigare gli impatti negativi nella catena di approvvigionamento, con obblighi che si estendono ai fornitori diretti e indiretti.

‍

La CSRD (Corporate Sustainability Reporting Directive), in vigore progressivamente dal 2024, estende i requisiti di rendicontazione alla catena di approvvigionamento sugli aspetti ambientali, sociali e di governance.

‍

Infine, per le entità soggette agli obblighi AML/CFT, il quadro antiriciclaggio si applica anche ai flussi in uscita: qualsiasi pagamento verso un terzo non identificato può costituire una violazione degli obblighi di vigilanza.

‍