Il Ministero dell’Economia e delle Finanze con la risposta all’interrogazione parlamentare n. 5-02058 ha evidenziato quali siano le iniziative volte a tutelare la riservatezza dei dati dei contribuenti contenuti nel sistema informatico fiscale dell’Agenzia delle Entrate «Serpico». I dati gestiti dai sistemi informativi dell’Agenzia delle entrate devono essere efficacemente protetti al fine di garantirne la riservatezza, l’integrità e la disponibilità. In tale contesto, assume particolare rilevanza la gestione del controllo degli accessi al Sistema Centrale Anagrafe Tributaria e, in generale, a tutti i sistemi, applicazioni e banche dati dell’Agenzia delle entrate. L’esigenza di massima tutela delle informazioni contenute nell’Anagrafe tributaria deriva, da un lato, dal rilevante interesse pubblico di detta banca dati, riconducibile alle finalità di natura fiscale per cui è stata costituita e, dall’altro lato, dal diritto costituzionalmente riconosciuto alla riservatezza dei dati personali in essa contenuti. Sotto il primo profilo, l’interesse pubblico alla tutela dei dati iscritti nell’Anagrafe tributaria è espressamente sancito dall’articolo 15 del DPR 29 settembre 1973, n. 605, recante «Disposizioni relative all’anagrafe tributaria e al codice fiscale dei contribuenti», a norma del quale «i dati e le notizie raccolti dall’anagrafe tributaria sono sottoposti al segreto d’ufficio». Sotto il profilo della protezione dei dati personali dei contribuenti iscritti nella banca dati, l’utilizzo della stessa è soggetto alla disciplina prevista dal Regolamento (UE) 2016/679 del Parlamento e del Consiglio del 27 aprile 2016 (GDPR) e dal decreto legislativo 30 giugno 2003 n. 196 (c.d. Codice in materia di protezione dei dati personali), che dettano una serie di misure di sicurezza a cui, nel tempo, si sono aggiunte quelle specificatamente indicate dal Garante per la protezione dei dati personali. L’Agenzia ha fornito, in proposito, specifiche indicazioni comportamentali e precisato le procedure operative cui devono attenersi gli utenti interni ed esterni per un corretto utilizzo delle risorse informatiche. Ciascun utente è direttamente responsabile della scelta, dell’utilizzo, della gestione e della custodia delle credenziali di accesso assegnategli per lo svolgimento delle proprie mansion lavorative. In particolare, le regole introdotte prevedono che l’utente non debba condividere o rivelare le sue credenziali di accesso ad altri utenti, al fine di evitare l’impropria visualizzazione di informazioni riservate e l’eventuale distruzione o modifica di dati. Inoltre, l’Agenzia ha adottato un sistema di regole di gestione delle abilitazioni con lo scopo fondamentale di garantire che le abilitazioni concesse siano strettamente limitate in funzione delle specifiche attività e mansioni svolte, sia al momento dell’accesso alle informazioni contenute nella banca dati, sia durante lo svolgimento dell’attività lavorativa, monitorate mediante verifiche periodiche. Un’ulteriore e importante misura di sicurezza è rappresentata dal sistema di tracciamento degli accessi, che costituisce un fondamentale strumento di dissuasione nei confronti degli operatori, attesa la possibilità di ricostruire le attività di accesso, collegandole a una precisa identificazione dell’utente e della postazione da cui accede. Il sistema di controllo accessi prevede il tracciamento dei login e, a un livello di dettaglio che dipende dalla specifica applicazione, delle operazioni svolte sui sistemi. Nel caso di Serpico, sono tracciati gli accessi e le interrogazioni svolte su un dato soggetto. Per quanto riguarda l’identificazione, gli operatori dell’Agenzia sono associati a un identificativo univoco: il codice fiscale. Il censimento degli operatori dell’Agenzia avviene nel Sistema informatico di gestione del personale al momento dell’assunzione, e, da tale momento, gli stessi sono identificabili anche per l’accesso alle procedure. Analogamente, il decensimento o il blocco dell’operatore avvengono per tutti i casi di uscita dall’organico dell’Agenzia (aspettative, comandi, distacchi, alcuni eventi disciplinari). Sotto il profilo dei controlli sugli accessi abusivi, l’Agenzia si è dotata, per il proprio personale, di sistemi di segnalazione delle anomalie negli accessi ai dati dell’Anagrafe Tributaria. Tali sistemi sono stati sviluppati in attuazione delle misure tecniche ed organizzative richieste dal Garante per la Protezione dei Dati Personali e rappresentano uno strumento di ausilio per contrastare fenomeni corruttivi e di accesso abusivo al sistema informativo dell’Anagrafe Tributaria. In particolare, l’Agenzia ha sviluppato un sistema di analisi informatizzata dei dati relativi agli accessi all’AT, finalizzato a evidenziare comportamenti potenzialmente anomali, con l’obiettivo di individuare eventuali irregolarità nella modalità di interrogazione dei dati. Inoltre, gli applicativi che interagiscono con l’Anagrafe Tributaria, tra cui Serpico, consentono l’accesso unicamente dopo che l’operatore ha completato positivamente il processo di identificazione, autenticazione e autorizzazione. In altri termini, tutte le applicazioni, prima di consentire qualsiasi trattamento dei dati, interagiscono con il sistema di controllo accessi affinché tutti gli operatori che vogliono accedere siano preventivamente identificati e autenticati, ne sia verificata sui sistemi l’autorizzazione all’accesso e gli accessi siano tracciati. L’Agenzia costantemente adegua le misure di sicurezza alle più evolute tecnologie e le rafforza laddove emergano ulteriori esigenze.