Post di Stefano Capaccioli, dottore commercialista, fondatore di Coinlex, società di consulenza e network di professionisti sulle criptovalute e soluzioni blockchain, autore di “La tassazione delle attività digitali” e Giuseppe Vaciago, avvocato esperto di diritto penale delle nuove tecnologie e diritto penale societario, partner di 42 Law Firm e Founder di LT42 S.r.l.. e docente di Data Ethics and Data Protection al Politecnico di Torino –

Il Fisco sta introducendo algoritmi e tecniche di intelligenza artificiale per trattare automaticamente i dati ed orientare i controlli tributari, valorizzando l’enorme patrimonio informativo delle banche a disposizione dell’Agenzia delle Entrate e della Guardia di Finanza.

Il concetto di “Intelligenza Artificiale”, pur alludendo a facoltà umane di comprensione e valutazione, altro non è che un algoritmo che tratta dati: non è magia, è solo matematica e statistica applicata.

Contrasto all’evasione versus diritti dei contribuenti

L’utilizzo ed il trattamento di dati, pur nel nobile intento di contrasto all’evasione tributaria, non può prescindere dal rispetto dei diritti dei contribuenti/interessati e dei limiti posti a tutela dei principi fondamentali rinvenibili nell’art. 8, par. 2, della Carta dei Diritti Fondamentali dell’Unione Europea e dell’art. 8 della CEDU.

Tali principi sono stati introdotti con il Regolamento (UE) 2016/679 (GDPR), che prevede diritti e obblighi per qualunque trattamento di dati; lo stesso Regolamento (art. 23 GDPR) permette di limitare per legge i diritti ovvero di derogare agli obblighi al ricorrere di determinati interessi e nel rispetto di precisi principi per le Pubbliche Amministrazioni.

Il contrasto all’evasione è uno di quegli interessi che autorizza il Fisco al trattamento dei dati e la compressione di diritti che tuttavia possono essere limitati se le misure sono necessarie e proporzionali in una società democratica per salvaguardare, tra gli altri, obiettivi di interesse pubblico.

L’European Data Protection Board ha pubblicato le Linee guida 10/2020 sulle limitazioni a norma dell’articolo 23 del GDPR, ove si sottolinea come le limitazioni siano lecite solo se superano la verifica dei requisiti di necessità e di proporzionalità.

Necessità delle limitazioni e delle deroghe

Le limitazioni introdotte ai diritti/obblighi devono essere motivate in maniera esplicita e adeguata, tenendo presente:

– Il principio di “necessario” non è sinonimo di indispensabile, né ha la flessibilità di espressioni quali «ammissibile», «ordinaria», «utile», «ragionevole» o «auspicabile», ma implica l’esistenza di un bisogno sociale imperioso, qualitativamente diverso da una semplice esigenza.

– Le deroghe e le limitazioni alla tutela dei dati devono operare entro i limiti dello stretto necessario per il raggiungimento dello scopo.

Il requisito di necessità costituisce condizione necessaria ma non sufficiente, poiché occorre esaminarne la proporzionalità della limitazione.

Proporzionalità delle limitazioni e delle deroghe

Il contenuto della misura legislativa che limita i diritti/obblighi non può superare quanto strettamente necessario per salvaguardare gli obiettivi perseguiti e deve essere supportata da elementi di prova finalizzati a dimostrare che misure esistenti o meno intrusive non siano in grado di affrontarlo in misura sufficiente e che l’eventuale limitazione rispetti realmente gli obiettivi perseguiti.

La nozione della proporzionalità trova origine nell’art. 52 della Carta dei Diritti Fondamentali dell’Unione Europea che implica che i vantaggi risultanti dalla limitazione devono prevalere sugli svantaggi causati dalla stessa in relazione all’esercizio dei diritti fondamentali in questione.

Le limitazioni previste dall’articolo  23 del GDPR, paragrafo 1, lettere da a) a j), del GDPR devono essere interpretate in maniera restrittiva con la logica conseguenza che qualunque misura legislativa che introduca una limitazione deve provvedere a esplicitare un’adeguata motivazione relativamente ad ogni singolo diritto sospeso, con particolare riferimento alla necessità e proporzionalità.

Decisioni algoritmiche

Il trattamento automatizzato dei dati nell’attività amministrativa determina il rispetto di ulteriori principi, sviluppati nella Giurisprudenza del Consiglio di Stato, che conducono a tre principi:

– Conoscibilità dell’algoritmo, derivante all’art. 41 della Carta dei Diritti Fondamentali dell’Unione Europea, che si sviluppa, si integra e si completa con il principio di comprensibilità, vale a dire sulla possibilità di ricevere informazioni significative sulla logica utilizzata» nelle decisioni algoritmiche;

– Non esclusività della decisione algoritmica, riferibile all’art. 22 del GDPR, che richiede che le decisioni non possono basarsi esclusivamente su un processo automatizzato, richiedendo un contributo umano (human in the loop);

– Non discriminazione algoritmica, previsto dal considerando n. 71 del GDPR, che conduce ad impedire effetti discriminatori, rettificando i fattori che comportano inesattezze dei dati e minimizzando il rischio di errori.

Regolamento europeo IA

I trattamenti automatizzati di dati rientreranno nell’emanando Regolamento Europeo sull’Intelligenza Artificiale per mezzo del quale i sistemi di intelligenza artificiale utilizzati nell’UE dovranno essere sicuri, trasparenti, tracciabili, non discriminatori e sostenibili.

In linea generale per lo sviluppo ed uso di sistemi di Intelligenza Artificiale responsabili ed etici sono stati individuati, sei principi fondamentali: (i) la supervisione umana, (ii) la robustezza tecnica e la sicurezza, (iii) la privacy e la governance dei dati, (iv) la trasparenza, (v) la diversità, la non discriminazione e l’equità, ed infine (vi) il benessere sociale e ambientale.

Illustrazione di Giorgio De Marinis/Il Sole 24 Ore

I sistemi di intelligenza artificiale ad alto rischio, potendo avere un pesante impatto, necessitano di una supervisione da parte delle persone, evitando pericolosi automatismi, con tutta la documentazione tecnica resa disponibile.

I dati utilizzati dal Fisco per la costruzione di un sistema di intelligenza artificiale devono essere pertinenti, rappresentativi, esenti da errori e completi poiché la correttezza e l’esattezza dei dati a livello collettivo ed individuale costituisce condizione necessaria, ancorché non sufficiente, per garantire obiettività ed imparzialità del risultato.

Algoritmi e Fisco

Il primo approccio di introduzione del trattamento automatizzato di dati delle informazioni in possesso del Fisco è avvenuto con il Decreto del Ministero delle Finanze del 28 giugno 2022 in attuazione dell’articolo 1, comma 683, della legge 27 dicembre 2019, n. 160, finalizzato al trattamento dei dati contenuti nell’archivio dei rapporti finanziari.

Il decreto ha ottenuto il preventivo parere del Garante e, successivamente, l’Agenzia delle Entrate ha pubblicato nel proprio sito la DPIA (valutazione di impatto) e il documento illustrativo sulla logica degli algoritmi.

Le finalità perseguite con il trattamento automatizzato sono quelle di far emergere le posizioni da sottoporre a controllo con i tradizionali poteri istruttori e di rilevare le anomalie da comunicare ai contribuenti per l’azione di stimolo dell’adempimento spontaneo.

Limitazioni ai diritti da parte del Fisco

Il Decreto Ministeriale introduce le limitazioni ai diritti dell’interessato e delle deroghe agli obblighi dell’Amministrazione Finanziaria, senza l’analisi dei requisiti di necessità e proporzionalità alla base delle limitazioni: in particolare viene sospeso il diritto all’accesso previsto dall’art. 15 del GDPR ai dati oggetto di trattamento fino al termine della verifica tributaria.

Il diritto di accesso, infatti, costituisce elemento propedeutico, strumentale e financo necessario per l’esercizio degli ulteriori diritti, poiché senza la conoscenza dell’esistenza, quella qualità e della correttezza del dato personale, l’interessato non potrà esercitare gli ulteriori diritti, tra cui quella alla rettifica.

I dati in possesso delle banche dati utilizzati diventano opachi per il contribuente/interessato che non ha né conoscenza degli stessi né tantomeno è informato dei dati aventi origine da terze parti, essendo limitati tali diritti, senza che ne ricorra, peraltro, i requisiti.

Il trattamento, quindi, può avvenire su dati incompleti ovvero inesatti, con pregiudizio dell’interessato/contribuente che può essere assoggettato ad un trattamento automatizzato pregiudizievole senza possibilità di alcuna azione ovvero di correzione.

Appare chiaro come la limitazione al diritto di accesso non risponda ai requisiti di necessità, poiché tutti i dati delle banche dati sono conosciuti e/o conoscibili dal contribuente ancorché comunicati da terze parti e il diritto di accesso non ostacola l’azione amministrativa, e di proporzionalità siccome eccede lo stretto necessario.

L’ulteriore elemento discutibile è che l’utilizzo di un algoritmo finalizzato a trattare una base di dati costituisce una elaborazione automatizzata senza che lo stesso sia conoscibile né conosciuto, poiché l’Agenzia delle Entrate non pubblicherà l’algoritmo venendo meno alla (i) conoscibilità, (ii) non discriminazione algoritmica e (iii) non esclusività della decisione algoritmica.

Possibile soluzione

L’utilizzo coordinato dei dati a disposizione del Fisco finalizzato al contrasto all’evasione tributaria, attraverso idonei trattamenti e algoritmi deve rispettare i diritti degli interessati, evitando compressioni e limitazioni eccedenti gli obiettivi perseguiti e, forse, che conducono in direzione opposta.

La messa a disposizione al contribuente dei dati utilizzati in apposita sezione del cosiddetto “Cassetto Fiscale”, permette l’esercizio del diritto di accesso in forma “autonoma”, rispettando i principi alla base del GDPR e generando conseguenze virtuose:

– di permettere l’esercizio del diritto alla rettifica prima che i dati stessi vengano trattati, con la conseguenza di non venire “danneggiati” da dati non corretti;

– di aumentare la “compliance” poiché la conoscenza dei dati in possesso potrebbe generare l’aumento della fedeltà tributaria.

Tale riflessione dimostra non solo l’inesistenza dei requisiti fondamentali per introdurre una limitazione nel diritto di accesso, anzi, come tale limitazione possa diminuire l’efficacia degli obiettivi perseguiti.

Fisco, algoritmi raffinati e il rischio del presunto evasore

L’algoritmo deve essere reso pubblico, per rispondere ai principi di trasparenza dell’azione amministrativa anche alla luce delle Sentenze del Consiglio di Stato e ai principi del diritto dell’Unione Europea.

L’utilizzo dell’Intelligenza Artificiale da parte del Fisco, infatti, può generare algoritmi raffinati che si basano su un’enorme mole di dati, con l’emersione di posizioni soggette a controllo sulla base di logica “black box”, producendo un presunto evasore, senza che lo stesso abbia gli strumenti per comprendere perché è sotto accertamento, né quali indizi debba contrastare.