L'analisi

Privacy e integrity, ridurre il rischio nell’interscambio di dati fiscali-personali: ecco la situazione

L’interscambio di dati fiscali e personali tra enti pubblici e autorità di vigilanza è regolato da un framework normativo definito e volto a garantire privacy e integrity dei dati stessi. Tuttavia, sul tema non mancano dubbi e problemi in materia di sicurezza

22 Ott 2019
P
Federico P. F. Pontani

Legal Tech Consultant


L’interscambio internazionale di dati personali di natura fiscale e finanziaria tra Autorità di vigilanza internazionali e altri enti pubblici offre spunti di riflessione sulla sicurezza del sistema informativo della fiscalità.

I recenti e plurimi provvedimenti in tema di privacy e cyber security delineano un assetto normativo ormai definito, ma il tempo sembra il principale ostacolo all’adeguata formazione della cosiddetta first line of defense for cyber attacks: il personale autorizzato. Approfondiamo la situazione.

Dati fiscali e personali

I dati fiscali possono spesso contenere dati personali (comuni e particolari) degli interessati-contribuenti. Basti pensare alla natura, provenienza ed entità dei redditi annualmente dichiarati.

È inoltre opportuno considerare che un’elevata quantità di dati fiscali è trasmessa all’estero (in Stati UE e terzi), principalmente per finalità di contrasto ai fenomeni di evasione fiscale e riciclaggio.

In genere, la tutela di tali dati è correlata alla sicurezza del sistema informativo, con particolare riferimento alle misure di sicurezza dispiegate a presidio dell’infrastruttura IT e dei database, nonché alla formazione delle risorse umane coinvolte nel processo di trattamento.

I sempre più frequenti data breach, cui siamo stati abituati ad assistere negli ultimi anni, ivi comprese le violazioni commesse da hacker, testimoniano un parallelo incremento del rischio incombente sui sistemi informatici dalle pubbliche amministrazioni.

In un simile scenario, ove le regole faticano a inseguire l’accelerazione della tecnica e l’uomo richiede congrui termini per adeguarsi a sempre nuovi standard normativi, il tempo sembra il principale ostacolo all’adeguata formazione del personale autorizzato.

Il Provvedimento del Garante della privacy

Con il Provvedimento n. 119 del 23 maggio 2019 il Garante per la protezione dei dati personali ha di recente autorizzato la Consob alla stipula di un accordo amministrativo per il trasferimento di dati personali tra le diverse autorità di vigilanza finanziaria operanti all’interno dello Spazio Economico Europeo (SEE) e quelle al di fuori dello stesso.

Tale provvedimento rappresenta un mezzo attraverso cui regolamentare il trasferimento di dati verso autorità estere e verificare che lo stesso avvenga nel rispetto dei principi sul corretto trattamento dei dati personali, contribuendo altresì alla trasparenza dello scambio nel Sistema europeo di vigilanza finanziaria.

Il trasferimento di dati personali finanziari e fiscali tra le diverse entità pubbliche è giustificato, tra l’altro, per finalità[1] di:

  • trasparenza dei mercati;
  • verifica della liceità dei comportamenti degli operatori sui mercati;
  • contrasto ai fenomeni di elusione ed evasione fiscale;
  • antiriciclaggio;
  • contrasto a fenomeni di corruttela nella Pubblica Amministrazione.

L’interscambio aumenta il volume di dati fiscali trattati su infrastrutture informatiche decentrate moltiplicando così i fattori di rischio di intrusione, ma al contempo consente l’utilizzo di sistemi “intelligenti” di profilazione oltre a un migliore utilizzo di strumenti di data mining.

Le banche dati del sistema fiscale nazionale

Nell’ambito del Sistema Informativo della Fiscalità (SIF), la protezione dei dati personali degli interessati non può prescindere dal costante aggiornamento della componente strutturale (architettura hardware e software) e umana (continua formazione del personale-autorizzato), in modo da poter adeguatamente (in)seguire il progresso della tecnica.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Anche in questo contesto, il legittimo dubbio che il soggetto interessato potrebbe porsi, qui in veste di contribuente, riguarda la sicurezza dei propri dati, relativamente ad esempio alla conservazione e trasmissione degli stessi. Per rispondere è necessario chiedersi preliminarmente: in quante banche dati sono “smistati” e duplicati i dati del singolo interessato o, in altre parole, quali banche dati alimentiamo con i nostri dati fiscali-personali?

Ebbene, nella recente audizione del 6 marzo 2019 dell’On. Massimo Bitonci (sottosegretario di Stato al MEF) si è fatto riferimento a banche dati “principali” presso le infrastrutture fisiche e logiche di interesse nazionale; dalla stessa emerge che le banche dati – e si sottolinea quelle “principali” – sono nove: “Anagrafico, Dichiarazioni – Irpef, Ires, Iva, Irap –, Rimborsi, Registro, Successioni, Versamenti, Comunicazioni da Enti Esterni, Crediti di imposta, Fatturazione elettronica”. Parte dei dati che alimentano i menzionati database affluiscono inoltre all’Anagrafe Tributaria.

Il numero delle banche dati, nondimeno, sale a trentadue se consideriamo quelle riconducibili ad altre Agenzie “fiscalmente rilevanti” (ivi compresa quella del Processo Tributario Telematico) e richiamate dal sottosegretario stesso nel corso del suo intervento.

A queste è inoltre utile aggiungere Indaco (INformazioni DAll’estero per COntribuenti nazionali)[2] e Serpico (SERvizio Per le Informazioni sul COntribuente, in dotazione all’Agenzia delle entrate e alla Guardia di finanza)[3], in ragione dei rapporti internazionali e delle attività di verifica in cui le stesse sono coinvolte.

Infine, ulteriori basi di dati di utilità fiscale, che alimentano quelle propriamente fiscali, sono distribuite presso diversi enti della Pubblica Amministrazione, riconducibili all’area:

  •  giudiziaria (contenziosi di natura patrimoniale, eredità e riconoscimenti di paternità, separazioni e divorzi, riconoscimento di compensi lavorativi);
  • sanitaria (relazioni tra scontrini fiscali elettronici e ricette elettroniche per la redazione delle dichiarazioni dei redditi precompilate);
  • della videosorveglianza ai fini di sicurezza ambientale (per l’identificazione di soggetti che dichiarano di essere all’estero beneficiando di condizioni fiscali di favore).

Se consideriamo in aggiunta le basi di dati presso gli Enti locali, si constata l’esistenza di migliaia di banche dati di interesse pubblico, contenenti dati personali, soggette ad accessi costanti per i più disparati trattamenti (consultazione, estrazione, uso, trasmissione ecc.).

I principali problemi rilevati

Ai fini di prevenzione e contrasto alle violazioni di dati, sono di recente intervenuti alcuni provvedimenti normativi. Il riferimento è in particolare al Regolamento (UE) 2019/881 (c.d. Cybersecurity Act), che demanda all’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) la definizione di schemi europei di certificazioni dei servizi digitali, ed al DDL sul Perimetro di sicurezza nazionale cibernetica[4], volto ad assicurare un livello elevato di sicurezza delle reti, sistemi e servizi informatici delle entità, pubbliche e private, da cui dipende una funzione o un servizio essenziale dello Stato.

Tali atti integrano quello che è un quadro normativo sulla cybersecurity già comprensivo di alcuni provvedimenti, fra cui la Direttiva (UE) 2016/1148 (c.d. Direttiva NIS) con il relativo d.lgs. 18 maggio 2018, n. 65 (di recepimento) ed il Regolamento (UE) 2016/679 (c.d. GDPR) con il d.lgs. 101/2018 (di adeguamento).

Nonostante ciò, se si effettua una sommaria ricognizione tra la situazione ante e post piena efficacia di tali provvedimenti, ci rendiamo conto di una persistente vulnerabilità dei sistemi informativi, sebbene il Garante Privacy abbia dato atto dei miglioramenti apportati e di un trend positivo verso ulteriori progressivi miglioramenti.

Questo rapido susseguirsi di interventi in materia evidenzia l’impellente necessità – se non una vera corsa contro il tempo – per la “messa in sicurezza” delle infrastrutture informatiche e database di pubblica rilevanza.

Con il Parere n. 68 del 13 febbraio 2014 (doc. web n. 3001879)[5], il Garante Privacy censurava infatti l’assenza di certificazioni di sicurezza del Sistema informativo della fiscalità (secondo standard ISO 27001:2005 e ISO 25012:2008), volte ad assicurare adeguati livelli di sicurezza fisica e logica. Parimenti veniva rilevata la necessità di rafforzare i servizi di sicurezza della rete, la gestione della navigazione su rete Internet, nonché l’inadeguatezza dei sistemi di disaster recovery, monitoraggio e trattamento delle violazioni di dati.

Più di recente, nelle Relazioni Annuali del 2016, 2017 e 2018, il Garante ha sottolineato ancora le criticità riferibili ai sistemi di controllo sugli accessi, vulnerabilità del sito istituzionale dell’Agenzia delle Entrate, nonché problematiche riconducibili alla manifesta sproporzione di un trattamento (sistematico e generalizzato) relativo a miliardi di fatture emesse e ricevute rispetto all’obiettivo di interesse pubblico; ciò con riguardo anche ai rischi elevati per i diritti e le libertà degli interessati che un simile trattamento inevitabilmente determina.

Tra i fatti che hanno evidenziato vulnerabilità del sistema di tutela dei dati personali si sono riscontrati casi di autorizzati al trattamento che utilizzavano le proprie credenziali per finalità non di servizio. Emblematico è il caso riguardante la violazione del sistema informatico Serpico da parte di un sottufficiale della Guardia di Finanza al fine di acquisire informazioni sulla situazione reddituale della moglie, con la quale aveva in corso una causa di separazione (Cass. pen., sez. V, sent. 27 febbraio 2019, n. 8541).

In aggiunta, nel Piano Triennale di Prevenzione della Corruzione (PTPC) 2018-2020 l’Agenzia delle entrate ha riscontrato un incremento dei reati di accesso abusivo al sistema informatico (in particolare, all’All. n. 3, risultano 156 indagati e 15 condannati).

Alle criticità finora menzionate devono aggiungersi considerazioni in merito all’Automatic Exchange Of Information (AEOI), ovverosia lo scambio automatico e obbligatorio – che si aggiunge a quello tradizionale “a richiesta” – di informazioni finanziarie ai fini fiscali, con il costante incremento del numero dei Paesi aderenti a tale programma e le differenti modalità di tutela che questi ultimi assicurano. Detta intensificazione può rappresentare un fattore moltiplicatore di rischi cibernetici se non opportunamente governato e rende indispensabile un approccio più integrato e condiviso per la prevenzione e mitigazione dei rischi.

Il Cybersecurity Act e il Perimetro di sicurezza

Il Regolamento (UE) 2019/881 (Cybersecurity Act) è il terzo in materia, preceduto dal Regolamento (UE) n. 526/2013 e dal Regolamento (CE) n. 460/2004 (questi ultimi abrogati in sequenza dai rispettivi successori).

Tra le motivazioni poste a fondamento del Cybersecurity Act troviamo, oltre all’obbiettivo di realizzazione del Digital Single Market, l’ormai storico trend di incremento degli attacchi informatici travalicanti le frontiere dei Paesi[6], una maggiore vulnerabilità intrinseca della società dell’informazione, l’assenza di uniformità di competenze di cybersecurity tra i Paesi UE con la conseguente necessità di individuare e sviluppare standard condivisi di certificazione.

Le responsabilità affidate dell’ENISA sono svariate e, tra queste, in tema di competenze vi è il compito di “promuove[re] un elevato livello di consapevolezza in materia di cybersicurezza, incluse l’igiene informatica e l’alfabetizzazione informatica, tra cittadini, organizzazioni e imprese” (art. 4, par.7), anche al fine della protezione dei dati personali, nel rispetto dei principi di security e privacy by design (41° considerando).

Purtroppo, anche se molto è stato fatto in materia di informatizzazione e digitalizzazione, nel Global Cybersecurity Index (GCI) dell’ITU l’Italia si trova solo al 25° posto tra i Paesi del continente europeo ed ha raggiunto solo il punteggio di 36 su 60 nel Cybersecurity Rank di Comparitech​.

Infine, nell’ottica di una tutela comprensiva dei dati degli interessati, non si possono neanche trascurare i livelli di cybers ecurity dei Paesi con cui sussiste un interscambio di dati finanziari e fiscali. Consegue che molto rimane da fare per adempiere ai disposti dell’ulteriore Regolamento Europeo che testimonia le sempre più gravi preoccupazioni in tema di cybersicurezza.

In questo senso, appare indirizzato il DDL sul Perimetro di sicurezza nazionale cibernetica del 19 luglio 2019 là dove prevede per i dipendenti pubblici una valutazione sotto i profili della responsabilità disciplinare ed amministrativo-contabile. In tale contesto, considerata l’importanza del sistema fiscale nazionale, il provvedimento rafforza il contrasto agli accessi abusivi.

La previsione inoltre di ispezioni e verifiche, da parte dell’AgID, delle reti, sistemi informativi e servizi informatici dei soggetti pubblici – con il ricorso a strutture specializzate in tema di protezione di reti e sistemi, nonché per la prevenzione e contrasto del crimine informatico – opera quale strumento di tutela integrativa rispetto alle disposizioni del GDPR e del Cybersecurity Act.

Note

  1.  In questo senso, per il contrasto all’evasione ed elusione fiscale v. la Direttiva (UE) 2014/107 del 9 dicembre 2014, modificata dalla Direttiva (UE) 2015/2376 dell’8 dicembre 2015, recepita in Italia con il d.lgs. 15 marzo 2017, n. 32, che ha modificato il d.lgs. 4 marzo 2014, n. 29 di attuazione della precedente Direttiva 2011/16/UE del 15 febbraio 2011 sullo scambio di dati fiscali per finalità antiriciclaggio. Per il rilievo ed il contrasto alla corruttela il rinvio è alla Deliberazione n. 6/2019/G, del 14 marzo 2019, della Corte dei conti.
  2. Cfr. Corte dei conti, Deliberazione 1° aprile 2019, n. 6/2019/G, Lo Scambio Automatico di Informazioni nel settore fiscale tra l’Italia e i Paesi dell’Unione europea, Cap. 1, 15, Cap. 2, 27-37.  Si veda anche la Circ. n. 19, dell’8 agosto 2019, dell’Agenzia delle Entrate – Divisione contribuenti, pp.30-31.
  3. Ibidem.
  4. Approvato dal Consiglio dei Ministri il 19 luglio 2019
  5. V., in particolare, il par. B “profili di criticità”.
  6. Invero, il trend di costante aumento delle violazioni di dati costituiva una motivazione fondante già nel Regolamento (UE) n. 526/2013 e nel Regolamento (CE) n. 460/2004.
FORUM PA 6 - 11 LUGLIO
L’infrastruttura tecnologica per la resilienza del Paese
Banda larga
Cloud storage

@RIPRODUZIONE RISERVATA

Articolo 1 di 5