L’uso dell’AI in ambito fiscale necessita di apposite misure di protezione

Sulla necessità di adottare nuove misure di protezione dei dati contenuti nell’anagrafe tributaria, sono in corso, da alcuni mesi, una serie di audizioni dei vertici dell’Amministrazione finanziaria davanti alla Commissione parlamentare di vigilanza sull’Anagrafe tributaria.

Nell’ultima audizione tenutasi, il Direttore dell’Agenzia delle Entrate, Vincenzo Carbone, ha illustrato quello che si sta facendo e si è messo in cantiere proprio su queste tematiche.

Tra le misure che l’Agenzia intende adottare, vi è anche la possibilità di inviare dei messaggi di alert al contribuente in caso di accessi anomali o non autorizzati ai suoi dati presenti nell’Anagrafe tributaria.

Nel frattempo, sono state recentemente adottate nuove procedure di segregazione organizzativa, di pseudonimizzazione dei dati anagrafici dei contribuenti e di tracciamento degli accessi. Misure in buona parte riprodotte, quasi specularmente, anche per l’altra banca dati estremamente sensibile contenuta nell’Anagrafe tributaria: la banca dati fattura integrati.

Anche di queste novità in tema di protezione e tutela dei dati dei contribuenti nelle attività di analisi informatizzate del rischio fiscale avremmo modo di trattare nel corso specialistico di Euroconference, dal titolo “Intelligenza artificiale e Fisco”.

Il direttore Carbone ha ricordato, inoltre, che l’Agenzia delle Entrate non utilizza, ai fini delle analisi di rischio fiscale, informazioni ottenute tramite tecniche di web scraping, utilizzando i dati presenti sui social.

Tornando alle analisi di rischio, è opportuno ricordare che l’Agenzia delle Entrate, sulla base di quanto previsto nell’art. 1, comma 682, Legge n. 160/2019, e dal successivo Decreto attuativo del 28 giugno 2022, può effettuare analisi di rischio sui dati dell’archivio dei rapporti finanziari con l’utilizzo di tecnologie avanzate e tramite elaborazioni e interconnessioni tra le proprie banche dati, al fine di individuare criteri di rischio utili a selezionare le posizioni da sottoporre a controllo o all’adempimento spontaneo.

In relazione alle tecniche di pseudonimizzazione dei dati personali dei contribuenti, il Direttore ha precisato come tale strumento costituisca una misura di garanzia aggiuntiva necessaria per il trattamento dei dati contenuti nell’Archivio dei rapporti finanziari. Tale misura è stata adottata in base alle previsioni dell’art. 4, n. 5), del Regolamento Privacy e alle valutazioni d’impatto effettuate dal Garante della privacy.

Le tecniche di pseudonimizzazione sono gestite esclusivamente dal partner tecnologico Sogei, che conserva separatamente le informazioni necessarie per risalire ai codici fiscali originali. Gli identificativi pseudonimi, ha ribadito sul punto il Direttore Carbone, hanno validità temporanea e i funzionari dell’Agenzia delle Entrate non hanno accesso a tali metodi di associazione.

Ulteriore misura di protezione dei dati dei contribuenti che è stata recentemente introdotta è la c.d. segregazione organizzativa. Si tratta, in sostanza, di una limitazione del numero dei soggetti che possono utilizzare i dati dell’Archivio dei rapporti finanziari per effetto della quale solo un’unità organizzativa può svolgere i trattamenti e le analisi di rischio fiscale sulla base di apposita autorizzazione.

Dal mese di marzo 2025, ha aggiunto, inoltre, Carbone, per l’applicazione SERPICO (utilizzata dai funzionari dell’Agenzia delle Entrate per l’accesso agli archivi dell’Anagrafe tributaria) e, da ottobre 2025, per l’applicazione DALI (applicazione per la liquidazione delle dichiarazioni), è stato introdotto l’obbligo di motivare ogni singolo accesso ai dati, pena l’impossibilità di proseguire la consultazione.

Anche i trattamenti e le analisi di rischio fiscale che hanno a oggetto la banca dati fattura integrati necessitano di particolari accorgimenti e misure protettive.

In questo archivio informatico, sono infatti archiviati i dati, estrapolati dai file fattura, riferiti alla natura, qualità e quantità delle operazioni effettuate dai contribuenti. Si tratta, dunque, di tutte le informazioni inerenti alla descrizione dell’operazione economica sottostante alla fattura elettronica.

Com’è noto, il trattamento di tali informazioni di natura qualitativa deve rispettare le previsioni contenute nel provvedimento del Garante della privacy n. 454 del 22 dicembre 2021 ed è consentito soltanto per le fatture emesse verso altri operatori economici (B2C), con esclusione delle fatture emesse da soggetti che operano nel settore legale.

Anche per le attività di trattamento e di analisi del rischio fiscale di tali dati sono previste tecniche di segregazione organizzativa che limitano gli accessi a una sola articolazione organizzativa dell’Agenzia delle Entrate.

Tra le altre misure di sicurezza che l’Agenzia delle Entrate sta introducendo, il Direttore ha evidenziato uno specifico progetto finalizzato ad aumentare il numero di informazioni sugli accessi effettuati, quali la data e l’ora, la tipologia di credenziale utilizzata, l’identity provider e l’operazione effettuata, nonché il livello di consapevolezza del contribuente rispetto a operazioni identificate come più a rischio, informando l’utente tramite specifici avvisi (mail o notifiche App IO).

Per effetto di tale innovazione, ha concluso il Direttore sul punto, l’utente dell’area riservata dei servizi telematici ha a disposizione uno strumento di controllo della propria attività, per poter rilevare se vi siano stati accessi potenzialmente anomali sulla propria posizione. Il beneficio che deriverebbe da tali implementazioni è contrastare possibili accessi indebiti da parte di soggetti non autorizzati.

Avvisare il contribuente degli accessi effettuati ai suoi dati presenti in Anagrafe tributaria, sarebbe davvero un gran passo in avanti nell’ottica della trasparenza amministrativa e della sicurezza dei trattamenti stessi.