La valutazione del rischio di evasione fiscale e le attività dell’Agenzia delle Entrate volte a misurare l’affidabilità dei contribuenti si avvalgono anche di strumenti digitali. Ad esempio, l’analisi dei big data, anche attraverso algoritmi di intelligenza artificiale. Il tutto avviene nel rispetto della privacy dei contribuenti e della riservatezza dei dati.
Lo ha sottolineato il direttore dell’Agenzia delle Entrate, Ernesto Maria Ruffini, in audizione alla Commissione parlamentare di vigilanza sull’Anagrafe Tributaria nell’ambito dell’indagine conoscitiva sulla sicurezza delle banche dati.
L’IA per l’analisi del rischio e il controllo umano
«In tutti i processi di analisi del rischio svolti dall’Agenzia delle Entrate l’intervento umano è sempre garantito sia a monte, sia a valle del procedimento» sottolinea Ruffini. E «i percorsi di analisi sono interamente sviluppati dal personale dell’Agenzia», prevedendo sempre fasi di test.
«Gli output delle attività di analisi del rischio non sono utilizzati per creare dei provvedimenti impositivi, ma vengono trasmessi alle strutture di controllo che, dopo un’ulteriore valutazione, decidono verso quali soggetti avviare un’attività istruttoria, che viene svolta nel pieno rispetto del principio del contraddittorio (recentemente potenziato dall’articolo 6-bis dello Statuto dei diritti del contribuente)».
Inoltre, gli algoritmi utilizzati dall’Agenzia delle Entrate sono sempre spiegabili (sono chiare le variabili che portano ad un determinato risultato), non discriminatori (sviluppati per scongiurare il pericolo di decisioni prese in base a dati non pertinenti rispetto al contesto specifico) e trasparenti.
C’è una sola articolazione organizzativa che può implementare algoritmi predittivi, in cui lavora personale in possesso di particolari qualificazioni professionali in ambito ingegneristico, econometrico, statistico e fisico.
I criteri per garantire la privacy dei dati
Il Fisco adotta una serie di misure procedurali per garantire l’utilizzo corretto dei dati, anche nel rispetto degli standard internazionali ISO/IEC 27000, e del principio di responsabilizzazione (accountability) che impone al titolare del trattamento dei dati personali la conformità con le norme del GDPR (Regolamento Generale sulla Protezione dei Dati).
Ad esempio, il personale dell’Agenzia può utilizzare solo gli applicativi informatici e le banche dati di cui ha bisogno per eseguire i compiti e le mansioni da svolgere, in nome dei principi di necessità, pertinenza, non eccedenza e minimizzazione del trattamento dei dati personali.
Tutti gli accessi vengono tracciati, e i sistemi sono in grado di evidenziare comportamenti potenzialmente anomali da parte degli operatori. L’applicativo informatico Mistral consente di individuare e inviare a ogni responsabile di struttura segnalazioni di accessi potenzialmente inconsueti all’Anagrafe Tributaria e ad altri tool.
Per tutte le attività di analisi del rischio si effettuata la valutazione di impatto DPIA (Data Protection Impact Assessment). I dati contenuti nell’archivio dei rapporti finanziari sono particolarmente protetti, attraverso tecniche di pseudonimizzazione, segregazione organizzativa, trattamento dei contribuenti minorenni, dati fattura integrati.
=> Accertamenti fiscali contro l'evasione tramite intelligenza artificiale
L’interoperabilità delle banche dati: azioni consentite
Le banche dati del Fisco sono interoperabili con quelle di altre amministrazioni ed enti pubblici, fra cui la Guardia di Finanza. Sono previste tre diverse modalità operative:
- consultazione online – consente di effettuare interrogazioni relative a informazioni presenti nell’Anagrafe tributaria;
- fornitura massiva – le informazioni presenti in Anagrafe tributaria vengono rese disponibili attraverso scambi di flussi su protocollo di comunicazione sicuro;
- interoperabilità – interazione diretta machine-to-machine, in una specifica cornice amministrativa e di sicurezza, tra i sistemi dell’Agenzia e quelli di utenti esterni.
Le misure di cybersecurity
Tutta l’architettura informatica è protetta da sistemi di cybersecurity che agiscono nelle seguenti aree:
- governance della sicurezza,
- evoluzione e ampliamento del sistema di tracciamento degli accessi,
- Identity Access Management (IAM),
- endpoint security,
- standardizzazione delle procedure di firma e cifratura,
- formazione e security awareness,
- adeguamento allo standard AgID,
- evoluzione delle applicazioni ad uso nell’ambito della sicurezza informatica,
- coordinamento delle attività di sicurezza informatica tra Agenzia e Sogei,
- ottimizzazione delle procedure di interazione con organismi di sicurezza,
- estensione della cifratura dei dispositivi portatili,
- adozione di soluzioni di autenticazione forte e separazione tra ambienti elaborativi.