Sicurezza delle informazioni: il difficile equilibrio tra tutela di sistema e protezione dei diritti individuali

Agenda Digitale 08/10/2024

La stagione di produzione normativa cui stiamo assistendo, sia a livello dell’Unione Europea che nazionale, continua a concentrare la propria attenzione sulla visione sistemica dei processi di sicurezza delle informazioni e sui potenziali impatti che gli incidenti di sicurezza possano comportare agli interessi del “sistema Paese” o, in un’ottica più ampia, a quelli del sistema sociale e produttivo dei Paesi dell’Unione.

Prospettiva certamente necessaria, in un contesto di esponenziale incremento di attacchi informatici che le immancabili analisi statistiche ci ricordano in costante ed apparentemente inarrestabile crescita. Tuttavia, accanto ai rischi sistemici, che rappresentano una minaccia alla sussistenza degli Stati in ottica collettiva, esistono non meno rilevanti rischi dei singoli, cittadini e imprese, sempre più esposti per l’espansione dei domini digitali a tutti gli aspetti della vita quotidiana.

Indice degli argomenti

Sicurezza delle informazioni: responsabilità dei fornitori e degli utenti

La nozione di “sicurezza delle informazioni”, quindi, deve necessariamente ampliarsi, per identificare compiutamente un “dominio di responsabilità” dei fornitori di beni e servizi e delle software house, particolarmente rafforzato nei riguardi dei soggetti “consumatori” e comunque in relazione all’esercizio professionale di attività di impresa dell’erogatore di beni e servizi chiamato, per questa attività, a quel supplemento di diligenza professionale, che si chiama ai più tradizionali principi della correttezza e buona fede che caratterizzano la dottrina civilistica da tempo immemore.

L’analisi si complica oltremodo, quando il profilo giuridico richiede anche una comprensione dei meccanismi tecnici di protezione che risiedono sono solo in capo al soggetto erogatore del servizio, ma anche sull’utente, che è chiamato a prestare un suo contributo effettivo, in termini di attenzione e cura, ad esempio nella corretta gestione delle credenziali e a quel necessario esercizio di attenzione e cura dei propri interessi.

Servizi bancari e finanziari: gli oneri in capo ai prestatori di servizi di pagamento

In questo contesto, è il settore dei servizi bancari e finanziari ad essere particolarmente esposto ad attacchi predatori, sui quali la giurisprudenza di merito e di legittimità ha avuto più volte occasione di pronunciarsi, con pronunce apparentemente non omogenee.

Punto cruciale, nel settore bancario, è l’esistenza di una normativa particolarmente stringente e complessa, fortemente indirizzata dall’attività regolatoria dell’Unione Europea, che stabilisce un onere specifico in capo ai soggetti prestatori di servizi di pagamento di approntare un rigoroso sistema di misure di sicurezza a protezione della disponibilità, integrità e riservatezza delle informazioni e dei sistemi che ne abilitano le funzionalità, con particolare riguardo al Decreto Legislativo 11/2010 (Attuazione della Direttiva 2007/64/CE). Questa norma da un lato(art. 8) obbliga l’operatore del mercato finanziario che mette a disposizione sistemi di pagamento telematici, tra l’altro a: assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall’utente abilitato a usare lo strumento di pagamento, fatti salvi gli obblighi posti in capo a quest’ultimo ai sensi dell’articolo 7 [che sono: utilizzare lo strumento di pagamento in conformità con i termini che ne regolano l’emissione e l’uso e comunicare senza indugio al prestatore di servizi di pagamento, lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne viene a conoscenza]; dall’altro (art. 10) determina una specifica responsabilità in capo al prestatore di servizi di pagamento e internet banking in caso di operazione non autorizzata dal cliente, a meno che questa non discenda dal dolo o dalla colpa grave del medesimo, sottolineando espressamente che grava sull’operatore bancario l’onere di provare che l’illecita operatività ad opera di terzi, con riferimento alle disposizioni contestate, sia stata resa possibile dal dolo o dalla colpa grave del cliente.

Responsabilità delle banche: le questioni esaminate dalla giurisprudenza

Su questo punto si aprono questioni più volte esaminate dalla giurisprudenza, che è chiamata ad un complicato onere di valutare quale sia il limite della responsabilità dell’istituto bancario e della sua specifica responsabilità professionale, “… prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo” (Cass. n. 2950/2017; v. anche Cass. n. 10638/2016; Cass. n. 9158/2018 Cass. n. 26916/2020 e, da ultimo, Cass. n. 16417/2022).

Se, dunque, la banca non può liberarsi da responsabilità semplicemente adducendo di aver adottato misure minime ed essenziali, ed anzi, la prova liberatoria a carico del prestatore di servizi non può prescindere dalla valutazione concreta delle misure tecnologiche offerte dal progresso scientifico per i sistemi di digital banking (oltre alla citata Cass. 9158/2018, in senso conforme, altre pronunce della Suprema Corte: n. 10638/2016 e 2950/2017), non mancano orientamenti diversi che, pur richiamando il principio di responsabilità primaria dell’istituto ad adottare misure coerenti e costantemente adeguate alla costante modificazione del rischio informatico, evidenziano la necessità di un ruolo diligente e consapevole dell’utente nell’utilizzo degli strumenti di pagamento, che ritiene su di sé l’effetto dannoso tutte le volte in cui, a fronte della dimostrazione dell’esistenza di sistemi di sicurezza adottati dall’istituto di credito, rispondenti ai migliori standard internazionali, rigorosamente presidiati da processi di prevenzione e monitoraggio attivi, nonché a richiami ripetuti agli utenti a prestare attenzione ai sempre più frequenti tentativi di inganno, tesi alla captazione delle credenziali e dei sistemi di autenticazione “forte”, questi ultimi comunque decidano di “collaborare” con i malfattori, fornendo le proprie credenziali di accesso e l’abilitazione ai meccanismi di autenticazione multifattoriale, in violazione di tutte le regole di prudenza e accortezza (Cass., Ordinanza 07214/2023).

In altri termini, nello specifico settore bancario e dei sistemi di pagamento online, i giudici sono chiamati ad una complessa valutazione sull’operato, in concreto, del fornitore di servizi di pagamento e assimilati, per verificare se la predisposizione di misure di sicurezza per prevenire gli incidenti di sicurezza e contenerne gli effetti avversi sia coerente con gli obiettivi di protezione che incombono sull’operatore finanziario. Rimane, peraltro, su quest’ultimo l’onere di dimostrare il dolo o la colpa grave del cliente, quale elemento esimente riguardo alla responsabilità dell’istituto.

Il processo a tutele crescenti del Regolamento dora

Questo aspetto presenta conseguenze non marginali riguardo ad un più ampio “dovere di protezione” che incombe sugli operatori bancari e finanziari, che è destinato ad estendersi in maniera ancor più rilevante con la piena attuazione del Regolamento UE 2022/2554 (Regolamento DORA) che, pur se indirizzato agli obiettivi di “resilienza operativa digitale” per il settore finanziario, introduce un processo a tutele crescenti, che ha anche a riferimento la protezione dei clienti, risolvendosi quindi in una caratterizzazione significativa di quegli obblighi di diligenza professionale che diventano caratterizzanti la specifica attività.

Riguardato dal punto di vista del cliente, il contratto complesso di servizi bancari e di mezzi di pagamento è una realtà assai più ampia, che definisce una serie di diritti ed obblighi in capo alle parti e la cui interpretazione non può che essere sistematica, coinvolgendo non solo le più tradizionali norme civilistiche, o quelle specifiche del settore bancario e quelle definite dal dominio “blob” della sicurezza delle informazioni. Rientrano nei criteri interpretativi e negli obblighi dell’operatore professionale anche quei doveri che discendono dal trattamento di dati personali e, dunque, disegnati nel Regolamento UE 2016/679 o Gdpr.

Sicurezza dei dati personali e responsabilità delle banche: la sentenza del Giudice Monocratico del Tribunale di Milano

Ne fa coerente applicazione, ad esempio, il Giudice Monocratico del Tribunale di Milano nella Sentenza 9645/2022 RG del 9 agosto 2024 che ricorda come “in base al rinvio all’art. 2050 c.c., operato dall’art. 15 del codice della privacy, l’istituto che svolga un’attività di tipo finanziario o in generale creditizio (…) risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l’evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore” e, per questa ragione, il soggetto titolare del trattamento dati (la banca) deve assicurare l’applicazione de principi fondamentali del Regolamento tra i quali quello secondo cui i dati personali devono essere “…trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”, essendone peraltro tenuto a rendere piena dimostrazione del rispetto di tale principio (art. 5 GDPR).

Questi principi di protezione, in realtà, possono essere estesi non solo al settore bancario, ma in qualunque altro dominio delle relazioni contrattuali in cui possano essere identificate puntuali posizioni qualificabili come “dovere di protezione”.

Responsabilità dei produttori: il caso dei contratti di licenza software

Si pensi solo per un momento all’evoluzione dei contratti di licenza software, tradizionalmente costruiti con un modello secondo il quale la software house imponeva, nei propri formulari standard contrattuali, una serie di limitazioni alla responsabilità contrattuale con una doppia prospettiva, intesa a contenere la responsabilità patrimoniale al massimo sino al valore contrattuale dell’acquisto della licenza e dall’altro, la costante presenza di clausole che tendono a perimetrare la responsabilità del produttore del software ai soli casi di dolo e colpa grave, con onere della prova (diabolica) a carico dell’acquirente. Il mondo dei software “on premises” ossia quelli installati direttamente sull’elaboratore o server del cliente finale hanno rappresentato per anni un’area di comfort per i produttori di software, confidenti del fatto che la gestione della sicurezza dell’elaboratore dovesse restare esclusivamente in capo all’utilizzatore, essendo estranea la software house alle modalità con le quali il software veniva installato e configurato sul sistema di esclusivo dominio del cliente che – ulteriore beneficio – manteneva i dati personali propri e dei suoi eventuali clienti in casa.

Rimaneva (e rimane) un’area sostanzialmente grigia, rispetto alla protezione del cliente finale, riguardo ai vizi del prodotto, non solo per quanto attiene a quelli afferenti alla non coerente scrittura del codice, ma soprattutto riguardo a quelle vulnerabilità di sicurezza, note o conoscibili con la diligenza professionale richiesta, che potrebbero arrecare danno per effetto dello sfruttamento da parte di attori ostili, spesso derivanti da un processo di sviluppo del software cui sono estranei i principi della sicurezza (SSDLC Software Security Development Life Cycle) ed agli obblighi contrattuali di aggiornamento per la risoluzione delle vulnerabilità.

Sviluppo del cloud e nuove difficoltà per i giuristi

Lo sviluppo del cloud, nelle sue diverse declinazioni, chiama il giurista ad un’ulteriore sforzo interpretativo e mette le software houses davanti al fatto compiuto: da un lato, la necessità di definire e qualificare il modello di ripartizione della responsabilità tra cloud services provider come infrastruttura o piattaforma (IaaS o PaaS) e il fornitore del software in cloud (SaaS); dall’altro, la complicazione di ricevere i dati personali del cliente finale, con l’obbligo di gestire i livelli di sicurezza anche dal punto di vista della protezione dei dati personali con una complicata intersezione di ruoli e responsabilità tra interessati, titolari e contitolari (figure mitologiche poco comprese e neglette, ma di grande utilità tutte le volte in cui, esattamente come avviene nel cloud, “ … il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti, nel senso che il trattamento da ciascuna parte è inseparabile, cioè inestricabilmente legato. La partecipazione congiunta deve includere la determinazione delle finalità da un lato e la determinazione dei mezzi dall’altro” come ci ricordano le linee guida EDPB sui ruoli privacy del 2021).

Le tutele previste dal legislatore italiano

Di questa complessità strutturale si è ben reso conto il legislatore italiano che, tra le tante iniziative per la creazione di un modello evoluto di protezione, ha costruito una strategia cloud che, pur limitata alla fornitura dei servizi a favore delle pubbliche amministrazioni, ha definito una serie di elementi di protezione assai significativi che vedranno un’espansione più che significativa con l’attuazione del decreto legislativo di recepimento della Direttiva UE 2022/2555 (Direttiva “NIS2”), di cui si attende la pubblicazione in Gazzetta Ufficiale ad horas. Declinando, con questo, ulteriori aspetti di dettaglio di quel “dovere di protezione” che caratterizza ormai ampi settori dell’economia, non più solo ad appannaggio dei grandi gruppi industriali.

L’importanza del principio di affidamento nel mercato digitale

In questa inarrestabile evoluzione tecnica e normativa, è sempre più evidente la necessità di costruire modelli di sicurezza delle informazioni adeguati e flessibili, ma coerenti con gli obiettivi di protezione degli utenti – siano essi consumatori, cittadini, imprese, con differenti graduazioni – che rappresenti anche una affermazione del principio di affidamento in un mercato sempre più digitale e interconnesso: principio che per il diritto è un valore in sé, per la certezza delle relazioni negoziali e per lo sviluppo di un’economia sempre più globale e dipendente dai sistemi digitali complessi.

Il codice di condotta di Assosoftware

Non può che essere salutata con grande favore l’iniziativa di Assosoftware, l’associazione di categoria dei produttori di software per piccole e medie imprese, professionisti e pubbliche amministrazioni, per la predisposizione di un “Codice di condotta”, ai sensi dell’art. 40 del GDPR, che rileva: “emerge la concreta esigenza per le imprese produttrici rappresentate da Assosoftware di assicurare che le attività dalle stesse svolte nell’ambito dell’intero ciclo di vita del software gestionale, dalla sua progettazione, produzione e sviluppo sino alla sua installazione e messa in esercizio, si conformino ad elevati livelli di protezione dei dati personali, allo scopo di favorire il rispetto del Regolamento e di rafforzare la fiducia degli utilizzatori del software verso l’adozione dei soluzioni gestionali in grado di realizzare la transizione digitale e l’innovazione produttiva. … i Produttori del Software intendono attraverso il presente Codice definire un sistema uniforme ed avanzato di regole di condotta e misure tecniche e organizzative, per assicurare che i software prodotti e resi disponibili sul mercato siano sviluppati nel rispetto dei principi di protezione dei dati fin dalla progettazione (by design) e per impostazione predefinita (by default), al fine di dimostrare la conformità alle disposizioni del Regolamento e di rafforzare la fiducia verso la digitalizzazione dei servizi e processi degli operatori economici ed istituzionali che li utilizzano, assicurando un adeguato livello di tutela dei dati personali trattati tramite l’impiego dei medesimi software…”. Strumento che definisce una serie di dettagliate regole professionali che non si limitano solo ai processi di ingegneria del software, ma anche ad indirizzarne compiutamente l’evoluzione, il mantenimento e l’aggiornamento con una evidente presa di coscienza del ruolo critico della produzione ed esercizio del software, sia on premises che in cloud e nel superamento della non più sostenibile posizione di negazione da parte delle software houses.

L’approvazione definitiva da parte dell’Autorità Garante è attesa per la fine del 2024 e rappresenterà un ulteriore punto di avvicinamento tra protezione “di sistema” e tutela degli interessi dell’utente finale.

Conclusioni

Le considerazioni che precedono, seppur limitate e senza pretesa di esaurire l’infinito ambito dei criteri di responsabilizzazione dei servizi digitali, vorrebbero servire ad aprire una riflessione più puntuale sulla necessità di riguardare il dominio della sicurezza delle informazioni non soltanto dalla prospettiva “macro” della protezione dei sistemi e degli interessi nazionali e ultranazionali, quanto per ricordare la necessità di guardare alla protezione delle informazioni, dei sistemi e delle reti come elemento rilevantissimo anche nei rapporti individuali e contrattuali.

In altri termini, disponibilità, integrità e riservatezza appartengono ormai definitivamente anche al contenuto delle obbligazioni in tutti quei contratti individuali che rappresentano, nella quotidianità, l’espressione dell’evoluzione delle relazioni commerciali e di servizio e sui quali sempre più spesso l’operato dei giudici è invocato per riconoscere la necessità di modelli di protezione coerenti con lo sviluppo globale delle relazioni umane, sempre più incentrato sull’utilizzo di beni e servizi digitali che non riconoscono confini nazionali, ma sempre più esposti a vulnerabilità che non possono rimanere esclusivamente a carico dell’utente finale.

Continua la lettura su: https://www.agendadigitale.eu/sicurezza/sicurezza-delle-informazioni-il-difficile-equilibrio-tra-tutela-di-sistema-e-protezione-dei-diritti-individuali/ Autore del post: Agenda Digitale Fonte: https://www.agendadigitale.eu

Categorie: Agenda Digitale, Vedi tutti i blog di Didattica

Tags: Cloud, dati personali, Formazione, Sicurezza digitale, Tutto su Cyber Security, Tutto su GDPR

Agenda Digitale

Emergenza Coronavirus COVID-19: notizie e provvedimenti

Ordinanza del 2 giugno 2021 Ulteriori misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19.

Ordinanza 29 maggio 2021 Ai fini del contenimento della diffusione del virus Sars-Cov-2, le attività economiche e sociali devono svolgersi nel rispetto delle “Linee guida per la ripresa delle attività economiche e sociali”, elaborate dalla Conferenza delle Regioni e delle Provincie autonome, come definitivamente integrate e approvate dal Comitato tecnico scientifico, che costituiscono parte integrante della presente ordinanza

Ordinanza 21 maggio 2021 Protocollo condiviso di aggiornamento delle misure per il contrasto e il contenimento della diffusione del virus SARS-Cov-2/COVID-19 negli ambienti di lavoro.

Ordinanza 21 maggio 2021 Linee guida per la gestione in sicurezza di attivita’ educative non formali e informali, e ricreative, volte al benessere dei minori durante l’emergenza COVID-19.

Ordinanza 21 maggio 2021 Ulteriori misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19.

FLC CGIL Scuola 10/01/2022

Fisco e privacy, alla ricerca dell’equilibrio tra diritti e lotta all’evasione

La recente riforma fiscale – realizzata nell’esercizio della delega legislativa conferita al Governo dalla l. n. 111 del 2023 e alla quale è stata data ampia attuazione attraverso la Legge di bilancio del 2024 – ci fa riflettere su un tema centrale per la democrazia: il rapporto tra efficienza delle politiche fiscali di lotta all’evasione, innovazione, rispetto dei diritti individuali[1].Si tratta di un tema delicatissimo per un Paese come il nostro che si caratterizza per l’elevato tasso di evasione ed elusione fiscale. Non è in dubbio che il contrasto di tali fenomeni sia indispensabile per realizzare la “promessa” dell’equità fiscale sancita dalla Costituzione e correlata al principio di progressività delle imposte. Sarebbe, tuttavia, semplicistico declinare il rapporto tra lotta all’evasione fiscale e privacy in termini di reciproca esclusione o, come talvolta è stato fatto, di antitesi. È un falso mito che il rispetto del diritto fondamentale della protezione dei dati ostacoli il raggiungimento degli obiettivi di politica fiscale.Indice degli argomenti
Perché il fisco e la privacy non si escludono a vicendaLa storia dei provvedimenti del Garante per la protezione dei dati personali, soprattutto di alcuni dei più recenti, ci dimostra esattamente il contrario: esiste una integrazione profonda tra lotta all’evasione fiscale, anche con l’ausilio della tecnologia, e protezione dati, sia in termini di tutela per l’individuo (che non può essere costantemente monitorato in ogni sua azione), sia per quanto concerne l’efficienza degli accertamenti stessi che, se condotti su dati esatti, aggiornati e pertinenti, consentono di ottenere risultati potenzialmente inattaccabili[2]. La disciplina privacy non offre, infatti, solo garanzie individuali per la persona che subisce l’accertamento, ma vere e proprie regole di efficacia dell’azione amministrativa, tanto più necessarie in un contesto, quale quello attuale, di profonda innovazione destinato a esiti rilevanti con l’impiego, sempre più significativo, dell’AI che si “nutre” principalmente di dati[3].Politiche fiscali: gli interventi del Garante privacyNegli ultimi anni la politica fiscale è andata nella direzione di una profonda digitalizzazione, con l’uso di modelli e tecniche di analisi deterministica o probabilistica basati su machine learning e intelligenza artificiale. Questi sistemi si sono sempre più alimentati di informazioni provenienti da banche dati pubbliche interconnesse.Alla luce dei pericoli legati ad una massiva raccolta di dati, ad una intensa concentrazione di informazioni rinvenibili in banche dati interoperabili e ad una eccessiva profilazione dei contribuenti, le direttici essenziali dell’attività del Garante hanno riguardato principalmente: la proporzionalità della raccolta dei dati; la sicurezza di sistemi e dei flussi informativi al fine di scongiurare accessi o esfiltrazioni di terzi non autorizzati ad informazioni, talvolta estremamente sensibili, degli interessati; la congruità delle limitazioni dell’esercizio dei diritti degli interessati; l’esattezza e la qualità dei dati utilizzati dagli algoritmi e dai sistemi di intelligenza artificiale.Tema, quest’ultimo, particolarmente rilevante nel contribuire a limitare il numero di errori nell’analisi del rischio fiscale, tanto più significativo rispetto all’analisi condotta, sempre più spesso, con procedure automatizzate anche basate sulle più avanzate tecnologie informatiche come il machine learning e l’intelligenza artificiale[4].Algoritmi e rischi fiscaliRispetto alle attività di analisi algoritmica del rischio fiscale o agli strumenti di determinazione sintetica del reddito, il requisito di esattezza e aggiornamento dei dati prescritto dall’art. 5, p. 1, lett. d) del GDPR, è prodromico, infatti, all’efficacia dell’azione accertativa. Le liste selettive di contribuenti da verificare sono elaborate con l’analisi algoritmica, incrociata, di informazioni, pseudonimizzate, tratte da diverse banche dati e sottoposte a re-identificazione solo nella fase successiva, di verifica dello scostamento registrato dall’algoritmo. Chiara, quindi, l’esigenza di selezionare le fonti di analisi dell’algoritmo anche secondo criteri di attendibilità, pena un’inevitabile distorsione del risultato. Sono, dunque, necessari non tanto e non solo, genericamente, una maggior quantità di dati, ma dati migliori, esatti, pertinenti, aggiornati, per fornire all’amministrazione una base informativa adeguata su cui fondare le proprie attività di controllo.Ci soffermiamo su tre casi significativi.I sistemi automatizzati per tracciare i profili di rischio dei singoli contribuenti: il c.d. “risparmiometro”Nel 2019 il Garante si è occupato della questione concernente lo sviluppo da parte dell’Agenzia delle Entrate di sistemi automatizzati per tracciare i profili di rischio di evasione dei singoli contribuenti. La sperimentazione, supportata da metodologie statistiche, doveva servire a sviluppare un modello di analisi volto a individuare le incongruenze tra le somme a disposizione del contribuente, rilevate dall’archivio dei rapporti finanziari, e i redditi e le spese desumibili dall’anagrafe tributaria.In altre parole, con questo sistema l’Agenzia delle Entrate sarebbe stata in grado di verificare se il contribuente avesse speso più di quanto effettivamente guadagnato grazie a un controllo incrociato e automatizzato dei suoi dati personali. Se i redditi in entrata venivano, invece, eccessivamente accantonati, si supponeva l’esistenza di guadagni non dichiarati, facendo scattare la contestazione dell’Agenzia. In altre parole, se il contribuente avesse risparmiato più del solito, sulla base delle suddette informazioni raccolte e incrociate tra loro, sarebbe stato ritenuto “sospetto” dal c.d. “risparmiometro” e sarebbe stato avviato un accertamento [5].Il Garante ha, dunque, in quella occasione, sottolineato l’importanza di verificare la qualità dei dati utilizzati, le elaborazioni effettuate e di implementare le garanzie nei trattamenti automatizzati per ridurre prudenzialmente i rischi per i diritti e le libertà degli interessati, correggendo potenziali errori o distorsioni per evitare un’errata rappresentazione della capacità contributiva del contribuente. Inoltre è stato sottolineato che la posizione di ciascun contribuente ‘selezionato’ dall’algoritmo avrebbe dovuto essere rivista da operatori qualificati, cioè con specifica formazione, delle Direzioni provinciali. Infine prima di essere convocato in contraddittorio, il contribuente avrebbe dovuto ricevere un’informativa completa, che spiegasse le conseguenze di un’eventuale mancata presentazione o di rifiuto a rispondere all’Agenzia. Lotta all’evasione e profilazione tributariaIl secondo caso [6] da richiamare è il parere che il Garante ha rilasciato al MEF nel 2021 in merito al tema della profilazione tributaria finalizzata alla lotta all’evasione fiscale[7]. Attraverso l’ampliamento dell’efficacia di tale sistema sono state introdotte rilevanti limitazioni degli obblighi e dei i diritti di cui agli artt. 14, 15, 17, 19 e 21 del GDPR, in relazione ai trattamenti effettuati dall’Agenzia delle entrate e dalla Guardia di finanza per le attività di analisi del rischio evasione (art. 1, commi 682 e 686, della legge 27 dicembre 2019, n. 160). Ad esempio, secondo lo schema di decreto, il contribuente non avrebbe potuto sapere di essere sottoposto a profilazione, né conoscere quali dati personali fossero stati trattati fino alla ricezione dell’invito a regolarizzare la propria posizione fiscale. In altre parole, sarebbe stata drasticamente limitata la possibilità per i cittadini di comprendere se e come l’Agenzia delle Entrate stesse trattando i loro dati personali, attraverso il tracciamento delle loro abitudini e profilando la loro persona.In sostanza, una netta de-responsabilizzazione dell’Agenzia con riferimento ai propri obblighi di trasparenza che, va ricordato, non solo rappresentano la base per la garanzia del diritto a difendersi da parte dei cittadini, ma costituiscono uno dei capisaldi per esercitare correttamente il diritto all’autodeterminazione informativa.In tal senso, il Garante aveva già fornito alcune indicazioni, in sede di interlocuzioni informali, volte, in particolare, a garantire l’esercizio del diritto di ottenere la rettifica dei dati personali inesatti, in considerazione del fatto che precluderne, o anche solo limitarne l’esercizio, avrebbe rischiato di ostacolare la rilevazione di errori nelle valutazioni prodromiche alle verifiche fiscali, determinando con ciò una falsa rappresentazione della capacità contributiva, nonché deviando e depotenziando l’efficacia dell’azione di contrasto dell’evasione fiscale.Il Garante ha, inoltre, rimarcato come in questo caso, tuttavia, le ipotizzate limitazioni all’esercizio dei diritti risultavano ultronee perché: non erano strettamente limitate ad accertamenti in corso, ma riguardavano anche i “potenziali” evasori; non sarebbero cessate al termine delle indagini condotte dall’amministrazione finanziaria; non era stato dimostrato come la restrizione al diritto di accesso avrebbe in concreto fatto emergere posizioni da sottoporre a controllo e incentivare l’adempimento spontaneo.Inoltre, sono state suggerite specifiche misure per garantire agli interessati il diritto di accesso ai dati presenti nel dataset di controllo, anche se non destinatari di inviti o provvedimenti tributari entro i termini di prescrizione, trovando un punto di equilibrio tra il diritto dell’interessato ad accedere a informazioni rilevanti e la tutela del dataset tributario per combattere l’evasione fiscale. Il che si può realizzare contemplando, ad esempio, specifiche ipotesi nelle quali i contribuenti non possono accedere ai dataset, nonché appositi termini di differimento del diritto di accesso, in modo tale da circoscrivere il più possibile la limitazione del diritto.In aggiunta, è stato richiesto di garantire che il processo decisionale volto all’avvio dei controlli fiscali non risultasse fondato esclusivamente su trattamenti automatizzati, prevedendo espressamente l’intervento umano, precisando – in seguito ad un’adeguata valutazione delle conseguenze e dei rischi per i diritti e le libertà degli interessati, riferibili anche alle limitazioni oggetto dello schema – se tale intervento fosse preliminare o meno all’inserimento dei dati nel dataset di controllo.Analisi dei rischi tramite machine learning e intelligenza artificialeNel 2022 l’Agenzia delle entrate ha manifestato l’intenzione di ricorrere a tecniche di machine learning, supervisionate e non, e a soluzioni di intelligenza artificiale per elaborare i dati dell’archivio dei rapporti finanziari e incrociarli con altre banche dati, con l’obiettivo di analizzare i rischi e i fenomeni evasivi/elusivi.L’uso del machine learning è stato autorizzato dal Garante[8] a condizione di offrire determinate garanzie a tutela degli interessati sulla base dei principi elaborati dai giudici amministrativi, dalle istituzioni europee e dal Consiglio d’Europa: in particolare, correttezza, non discriminazione, trasparenza, comprensibilità delle logiche degli algoritmi, robustezza e cybersicurezza, responsabilizzazione, limitazione del trattamento.Seguendo queste direttrici, tra le misure suggerite, spiccava la verifica in ordine all’individuazione delle banche dati utilizzate per creare il dataset usato per sviluppare i modelli di analisi, al fine di scongiurare l’opacità nella fase di sviluppo dell’algoritmo, che avrebbe potuto portare a errori e distorsioni nella rappresentazione della situazione del contribuente. Se i dati di addestramento dell’algoritmo sono inesatti, falsi, inattendibili, possono verificarsi errori di analisi e distorsioni, talvolta irreparabili. È, pertanto, necessario che i dataset siano accurati, costantemente aggiornati e prevedano un utilizzo ben circoscritto di dati particolarmente delicati (quali quelli dati appartenenti alle categorie particolari di cui all’art. 9 del GDPR, con specifico riguardo a quelli sulla salute) onde evitare conseguenze che possano determinare gravi discriminazioni in capo a uno o più interessati, adottando misure adeguate a tutelare soggetti vulnerabili quali i minori i cui dati dovessero risultare presenti all’interno dei dataset.Si pensi, solo per fare alcuni esempi, alle complicazioni dovute a un banale caso di omonimia che porti all’avviamento di un procedimento o, ancora, al contribuente che, per errore, si ritrovi in una black list e venga, pertanto, continuamente bersagliato da controlli e richieste di chiarimenti senza che vi sia una reale ragione. Si tratta di conseguenze immediate derivanti dall’utilizzo di dati inesatti, mentre altre non sono nemmeno visibili, o sono, comunque, difficilmente decifrabili, se non quando ormai è troppo tardi. Per tale motivo, la scelta e la cura dei data set sono – come ampiamente detto – un aspetto fondamentale a tutela degli individui da possibili discriminazioni.Fisco e privacy nella riforma fiscale (d.lgs. n. 13/2024)Sistematizzando queste esperienze, in sede di audizione dinanzi alla Commissione di vigilanza sull’anagrafe tributaria, poco prima dell’avvio dell’esame della delega fiscale, il Garante aveva suggerito di inscrivere le riforme in un piano organico di digitalizzazione dell’attività fiscale, per circoscrivere con certezza l’ambito di circolazione legittima dei dati ed evitarne l’ipertrofia indiscriminata, razionalizzandone l’acquisizione (da limitare alle sole informazioni fiscalmente rilevanti), assicurando anche garanzie di sicurezza adeguate e stringenti presupposti, soggettivi e oggettivi, di accesso per evitare esfiltrazioni indebite dei dati.Le indicazioni del Garante sono state, complessivamente, seguite in sede di redazione della delega fiscale e, quindi, di esercizio delle relative deleghe legislative[9].Se, infatti, comprensibilmente, i criteri direttivi del d.lgs. n. 13/2024 individuano come obiettivi, anche per ridurre il tax gap, la piena utilizzazione dei dati nella disponibilità dell’Agenzia anche mediante interoperabilità (art. 2, comma 3), il potenziamento dell’analisi del rischio, il ricorso alle tecnologie digitali e alle soluzioni di intelligenza artificiale (art. 1),è comunque espressamente previsto il vincolo di conformità di tali attività alla disciplina di protezione dati (art. 2, comma 1, lett. a).Questo comporta, in primo luogo, una congrua selezione del patrimonio informativo, sulla base appunto dei principi di proporzionalità, minimizzazione, esattezza, limitazione della finalità e della conservazione, sicurezza, trasparenza, di cui all’art. 5 GDPR.In secondo luogo, va registrata positivamente l’esclusione dal novero delle informazioni acquisibili dall’amministrazione quelle contenute nelle banche dati di polizia o degli uffici giudiziari, o consentendone l’uso da parte della Guardia di finanza, ma con le garanzie speciali previste, per questa particolare categoria di dati, dal relativo plesso normativo applicabile (d.lgs. n. 51 del 2018 di recepimento della cd. “direttiva” polizia). Semplificando, i dati giudiziari per l’analisi tramite machine learning e intelligenza artificiale potranno essere utilizzati nel rispetto delle garanzie rafforzate previste a livello europeo.Rispetto alla limitazione dell’esercizio dei diritti degli interessati, fondamentale l’esclusione, dal novero dei diritti suscettibili di limitazione, del diritto di rettifica, nella consapevolezza della sua utilità per la stessa esattezza delle informazioni trattate e, quindi, della corretta rappresentazione del rischio fiscale dell’interessato.Il nodo del web scraping ai fini dell’analisi del rischio fiscaleIndubbiamente il nodo più complesso da sciogliere in relazione alla riforma ha riguardato la possibilità di utilizzo, da parte dell’Agenzia delle entrate, di informazioni “pubblicamente disponibili” ai fini dell’analisi del rischio fiscale.In sede di parere (reso l’11 gennaio 2024) il Garante ha chiesto – e ottenuto – di espungere il riferimento a queste informazioni non meglio individuate, in quanto prive dei necessari requisiti di esattezza – non potendosi quindi ritenere affidabili, né aggiornati e pertanto suscettibili di violare il principio di qualità del dato – e raccolte per fini diversi da quelli per le quali esse vengono rese disponibili[10]. La norma, nella sua generalità, legittimava infatti ipotesi molto diverse tra loro, non tutte compatibili con la disciplina di protezione dati e con lo stesso Ai Act.Se, infatti, l’uso di fonti aperte qualificate (ad esempio la sezione “amministrazione trasparente” di molti siti di pp.aa.) non presenta particolari criticità in quanto riguarda informazioni complessivamente attendibili e previamente vagliate, in particolare da organi pubblici, maggiori perplessità suscita l’uso (che, appunto, la dizione normativa poteva comprendere) di dati “rastrellati” dal web. La norma sembrava, in altri termini, legittimare quel web scraping (il “socialometro”) cui, pure, la c.d. Nadef (Nota di aggiornamento del documento di economia e finanza) del 2022 accennava come possibile tecnica di analisi del rischio fiscale, in particolare per i casi di sotto-fatturazione delle partite Iva.Ciò che va scongiurato è la possibilità di fondare analisi di rischio fiscale propedeutiche a veri e propri accertamenti su dati del tutto inattendibili. Se addestrato su dati anche soltanto parzialmente inesatti, infatti, l’algoritmo restituirà risultati errati in proporzione geometrica, con bias che dalla base informativa si propagano lungo tutto l’arco della decisione algoritmica. Rischierebbe, insomma, di emergere non il sommerso ma il falso, con effetti distorsivi (in proporzione geometrica) sulla corretta rappresentazione della capacità fiscale dei contribuenti.Web scraping, cosa dicono Gdpr e Ai ActNon a caso, il requisito di qualità dei dati è richiesto, oltre che dal GDPR (art. 5, p. 1, lett. d), anche dall’Ai Act, nella consapevolezza dell’importanza di allenare gli algoritmi (soprattutto se utilizzati a fini accertativi) su informazioni attendibili, complete, sufficientemente rappresentative (Cons. 38, 44, artt. 10, 13). L’utilizzo dei dati acquisiti dal web dovrebbe essere reso possibile soltanto dopo una loro adeguata verifica di attendibilità e garantendo l’esercizio dei diritti (alla spiegazione della decisione algoritmica, alla sua contestazione e a ottenere l’intervento umano) sanciti dall’art. 22 GDPR rispetto al processo decisionale automatizzato. Tali previsioni si conformerebbero, oltretutto, ai principi di “legalità algoritmica”: conoscibilità dello strumento informatico utilizzato, comprensibilità del modulo decisorio, non esclusività della decisione automatizzata.Per evitare di incorrere nella violazione del principio di proporzionalità, l’acquisizione dei dati dal web dovrebbe avvenire in maniera mirata, per corroborare con riscontri estrinseci l’anomalia desunta, sulla base di fonti informative qualificate, da uno scostamento significativo tra capacità patrimoniale dichiarata e tenore di vita. I social contengono, oggi, intere biografie: non può pensarsi di rastrellarli integralmente per tutta la popolazione italiana con una sorta di pesca a strascico, ma semmai di acquisire alcuni, selezionati contenuti ove emerga l’esigenza di un riscontro sull’effettivo tenore di vita (o, meglio, sul tenore di vita sommerso che si auspica possa emergere dai social). Tali accorgimenti, lungi dal depotenziare l’efficacia dell’azione di contrasto dell’evasione, potrebbero invece promuoverla, correggendo potenziali errori o distorsioni nel processo decisionale automatizzato. Ma soprattutto, queste cautele potrebbero conferire alle politiche fiscali, anche nella percezione dei cittadini, quella più forte legittimazione che una combinazione equa di tecnologia e “fattore umano” può assicurare all’azione amministrativa, perché si avvalga dell’innovazione senza, tuttavia, indebolire le garanzie individuali.Accertamento fiscale e Ai ActUna disciplina efficace dell’intelligenza artificiale in ambito tributario dovrà trovare un equilibrio adeguato tra le esigenze pubbliche di contrasto ai fenomeni evasivi/elusivi e la tutela dei diritti fondamentali dei contribuenti, inclusi il diritto alla protezione dei dati personali, al contraddittorio e al giusto procedimento.È emerso che non bisogna inevitabilmente compromettere la protezione dei dati personali per combattere l’evasione/elusione fiscale. Al contrario, se l’azione amministrativa opera in combinato con i principi di protezione dei dati personali, risulterà non solo rispettosa dei diritti del contribuente, ma anche più efficace.In questo contesto, l’Ai Act lascia sorprendentemente un vuoto in termini di tutela specifica per i cittadini europei. Infatti, l’Ai Act non proibisce né classifica come “ad alto rischio” l’uso di sistemi di intelligenza artificiale per scopi di giustizia tributaria predittiva o per la determinazione dell’affidabilità fiscale di un individuo, né per la stima del rischio di commissione di illeciti tributari. Analizzando il punto 6 dell’Allegato III del Regolamento, si potrebbe ritenere che l’uso di questi sistemi rientri tra quelli “ad alto rischio”, in quanto assimilabili a “sistemi di i.a. destinati a essere utilizzati dalle autorità di contrasto o per loro conto, oppure da istituzioni, organi e organismi dell’Unione a sostegno delle autorità di contrasto, come poligrafi e strumenti analoghi”. Tuttavia, il considerando n. 59 dell’Ai Act specifica diversamente che: «I sistemi di IA specificamente destinati a essere utilizzati per procedimenti amministrativi dalle autorità fiscali e doganali, come pure dalle unità di informazione finanziaria che svolgono compiti amministrativi di analisi delle informazioni conformemente al diritto dell’Unione in materia di antiriciclaggio, non dovrebbero essere classificati come sistemi di i.a. ad alto rischio utilizzati dalle autorità di contrasto a fini di prevenzione, accertamento, indagine e perseguimento di reati».In altre parole, mentre l’uso di sistemi di intelligenza artificiale per attività di cd. law enforcement è accompagnato da importanti tutele, queste non si applicano al settore fiscale, poiché detti sistemi utilizzati in questo contesto non sono considerati “ad alto rischio”. Di conseguenza, nell’ambito fiscale non troveranno applicazione, ad esempio, le garanzie relative all’addestramento, il test e la convalida dei sistemi di intelligenza artificiale per prevenire inesattezze, lacune, errori e bias, evitando così il ripetersi di effetti discriminatori o distorsivi, particolarmente problematici in questo contesto perché capaci di determinare false rappresentazioni della capacità contributiva del cittadino.Ancora, ai sensi dell’Ai Act, non sarà obbligatorio garantire una supervisione umana sul funzionamento dei sistemi di intelligenza artificiale in ambito fiscale, legittimando così l’adozione di decisioni interamente automatiche senza l’intervento di addetti competenti ed esperti dei rischi e dei limiti intrinseci di queste tecnologie. Il Garante conserva pertanto, in un siffatto contesto, un ruolo cruciale di vigilanza, considerando che, a fronte dell’assenza nell’Ai Act di norme specifiche sull’attività fiscale, i trattamenti di dati personali in quest’ambito, svolti con il ricorso all’intelligenza artificiale, sono interamente soggetti alla disciplina di protezione dati (e al conseguente controllo dell’Autorità), con le garanzie che essa prevede, per il singolo e per la correttezza dell’azione amministrativa al tempo stesso.__Note[1] Cfr. sul tema: F. Farri, Digitalizzazione dell’amministrazione finanziaria e diritti del contribuente, in Riv. dir. trib., 2020, n. 5, 115 ss.; G. Pitruzzella, Dati fiscali e diritti fondamentali, in Dir. prat. trib. int., 2022, n. 2, 666; G. Consolo, Sul trattamento dei dati personali nell’ambito delle nuove procedure automatizzate per il contrato all’evasione fiscale, in A. Contrino, E. Marello, La digitalizzazione dell’amministrazione finanziaria tra contrasto all’evasione e tutela dei diritti del contribuente, vol. II, Milano, 2023, 179 ss.[2] Cfr. G. Palumbo, Fisco e privacy. Il difficile equilibrio tra lotta all’evasione e tutela dei dati personali, Pisa, 2021.[3] Su i.a. e fisco cfr. R. Cordeiro Guerra, L’intelligenza artificiale nel prisma del diritto tributario, in Dir. prat. trib., 2020, n. 3, 921; S. Dorigo, L’intelligenza artificiale e i suoi usi pratici nel diritto tributario: Amministrazione finanziaria e giudici, in R. Cordeiro Guerra, S. Dorigo, Fiscalità dell’economia digitale, Pisa, 2022, 199 ss.; C. Francioso, Intelligenza artificiale nell’istruttoria e nuove esigenze di tutela, in Rass. trib., 2023, n. 1, 47 ss.; F. Paparella, Procedimento tributario, algoritmi e intelligenza artificiale: potenzialità e rischi della rivoluzione digitale, in A. Contrino, E. Marello, La digitalizzazione dell’amministrazione finanziaria tra contrasto all’evasione e tutela dei diritti del contribuente, vol. II, Milano, 2023, 3 ss.[4] In informatica si usa l’espressione garbage in – garbage out (cioè, letteralmente, “spazzatura dentro, spazzatura fuori”), a sottolineare che se i sistemi di intelligenza artificiale sono allenati con dati non esatti o in generale di scarsa qualità (garbage in) l’algoritmo che li elabora produrrà, a sua volta, risultati errati (garbage out); cfr. G. D’Acquisto, Qualità dei dati e intelligenza artificiale: intelligenza dai dati e intelligenza dei dati, in F. Pizzetti, Intelligenza artificiale, protezione dei dati personali e regolazione, Torino, 2018, 285.[5] Parere sul provvedimento del Direttore dell’Agenzia delle entrate recante “Disposizioni di attuazione dell’articolo 11, comma 4, del DL 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214, e successive modificazioni. Analisi del rischio di evasione. Estensione all’anno 2014-2015 della sperimentazione della procedura di selezione basata sull’utilizzo delle informazioni comunicate all’Archivio dei rapporti finanziari” – 14 marzo 2019, n. 58 del 14 marzo 2019, doc. web n. 9106329.[6] Sulla profilazione in ambito tributario, cfr. M. Pontillo, Algoritmi fiscali tra efficienza e discriminazione, in Riv. trim. dir. trib., 2023, n. 3, 649 ss.; D. Conte, Digitalizzazione, Data protection e tecniche di profilazione nell’attività di accertamento tributario: quali diritti per i contribuenti?, in La digitalizzazione dell’amministrazione finanziaria tra contrasto all’evasione e tutela dei diritti del contribuente, cit., 133 ss.[7] Parere sullo schema di decreto attuativo dell’art. 1, comma 683, della legge 27 dicembre 2019, n. 160, n. 453 del 22 dicembre 2021, doc. web n. 9738520.[8] Cfr. parere reso dal Garante sulla valutazione di impatto sulla protezione dei dati relativa al trattamento posto in essere nell’ambito dell’analisi dei rischi e dei fenomeni evasivi/elusivi tramite l’utilizzo dei dati contenuti nell’Archivio dei rapporti finanziari e l’incrocio degli stessi con le altre banche dati di cui dispone l’agenzia (cfr. provvedimento n. 276 del 30 luglio 2022 – doc. web n. 9808839).[9] Sulla riforma fiscale del 2024, cfr. M.G. Ortoleva, L’intelligenza artificiale nell’analisi del rischio fiscale tra auspicata efficienza e tutela dei diritti dei contribuenti, in Dir. prat. trib. inter., 2024, n. 4, 1136 ss.[10] Cfr. Parere del Garante su uno schema di decreto legislativo recante disposizioni in materia di accertamento tributario e di concordato preventivo biennale doc. web n. 9978230: “alcune disposizioni andrebbero modificate per assicurare maggiore garanzie nei trattamenti di dati personali previsti ed altre potrebbero essere ulteriormente perfezionate, segnatamente al fine di fugare possibili dubbi interpretativi. In tale prospettiva, sotto il primo profilo, all’articolo 2, comma 3, andrebbero espunte le informazioni “pubblicamente disponibili” dal novero di quelle suscettibili di utilizzo, da parte dell’Agenzia delle entrate, mediante interconnessione con altre, in quanto prive dei necessari requisiti di affidabilità e raccolte per finalità diverse da quelle sottese al trattamento considerato”. Tra le altre condizioni, si è richiesto di “1) sopprimere, al comma 3 dell’articolo 2, le seguenti parole: “ovvero pubblicamente disponibili””. In effetti, nell’art. 2 del d.lgs. n. 13/2024 risulta ancora il riferimento ai dati personali “pubblicamente disponibili”, ma soltanto nel comma 1 concernente le definizioni; nel comma 3 tale riferimento non c’è. Essendo un riferimento contenuto soltanto nelle definizioni, ma poi espunto al comma 3, sembra privo di risvolti applicativi.

Agenda Digitale 22/05/2025