Anagrafe tributaria, audizione su privacy e sicurezza informatica

Si è svolta questa mattina l’audizione del direttore dell’Agenzia delle entrate, Ernesto Maria Ruffini, presso la Commissione parlamentare di vigilanza sull’anagrafe tributaria nell’ambito dell’indagine conoscitiva sulla sicurezza delle banche dati dell’Anagrafe tributaria e sulla tutela della riservatezza dei dati dei contribuenti.

Ogni anno, ha premesso il direttore, l’Agenzia aggiorna la propria strategia digitale con lo scopo di valorizzare al massimo il patrimonio informativo a sua disposizione, garantendo allo stesso tempo la legittimità degli accessi e, più in generale, la sicurezza e la protezione dei dati, avvalendosi, per la progettazione e la realizzazione delle soluzioni tecnologiche anche per cybersecurity e protezione dei dati, del partner Sogei.

L’Amministrazione, tra l’altro, ha evidenziato il direttore, ha definito una complessiva strategia di sviluppo di tecniche di analisi sui cosiddetti big data, anche mediante l’utilizzo di tecniche di intelligenza artificiale, lo scopo è superare le tradizionali modalità di analisi a favore di approcci innovativi e al passo con la rapida evoluzione tecnologica in quest’ambito.

Per quanto riguarda il rispetto della privacy, Ruffini ha precisato che l’Agenzia delle entrate, insieme all’Agenzia delle entrate-Riscossione, si è dotata di un sistema di gestione per la protezione dei dati personali realizzato secondo gli standard internazionali ISO/IEC 27000, dando così attuazione al principio di responsabilizzazione (accountability), che impone al titolare del trattamento dei dati personali di mettere in atto misure tecniche e organizzative in grado di garantire e dimostrare che ogni trattamento è effettuato conformemente al Regolamento Generale sulla Protezione dei Dati.

Le regole di accesso agli applicativi e alle banche dati gestiti dalle Entrate, tra cui l’Anagrafe tributaria, assicurano che il personale possa utilizzare solo gli applicativi informatici e le banche dati di cui abbia bisogno per eseguire i compiti e le mansioni che gli vengono affidati.

In particolare, le modalità sono definite secondo i principi di necessità, pertinenza, non eccedenza e minimizzazione del trattamento dei dati personali previsti dal RGPD (Regolamento Generale sulla Protezione dei Dati) e dal codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196/2003).

Per sicurezza sono previsti il tracciamento di tutti gli accessi e degli utilizzi dei sistemi informatici e percorsi di analisi informatizzata in grado di evidenziare comportamenti potenzialmente anomali da parte degli operatori. Inoltre, l’applicativo informatico Mistral consente di individuare e inviare automaticamente a ogni responsabile di struttura segnalazioni di accessi potenzialmente inconsueti all’Anagrafe tributaria e ad alcuni applicativi informatici di maggiore utilizzo.

Sul fronte dell’interoperabilità delle banche dati e, in particolare delle informazioni dell’Anagrafe tributaria disponibili ad altre pubbliche amministrazioni ed enti che svolgono attività di interesse pubblico, l’Agenzia ha definito da tempo un catalogo dei servizi standard di cooperazione informatica. In via generale, sono stati messi a punto tre differenti modalità di accesso controllato:

• consultazione online, che consente di effettuare interrogazioni relative a informazioni presenti nell’Anagrafe tributaria
• fornitura massiva, tramite cui le informazioni presenti in Anagrafe tributaria vengono rese disponibili attraverso scambi di flussi su protocollo di comunicazione sicuro
• interoperabilità, con l’interazione diretta machine-to-machine, in una specifica cornice amministrativa e di sicurezza, tra i sistemi dell’Agenzia e quelli di utenti esterni.

Il direttore ha descritto nello specifico le diverse modalità di accesso all’Anagrafe tributaria o ai sistemi informativi dell’Amministrazione finanziaria da parte di altri organismi e, in particolare, della Guardia di finanza, di enti della fiscalità (dipartimento delle Finanze, Agenzia delle dogane e dei monopoli, Agenzia del demanio), di enti esterni al sistema informativo della fiscalità e di alcune amministrazioni di particolare rilevanza istituzionale.

Il direttore Ruffini ha proseguito illustrando separatamente gli adempimenti messi in atto per recepire le novità normative in materia di tutela dei dati personali e quelle derivanti da specifiche prescrizioni formulate dall’Autorità garante della privacy.

In particolare, con l’evoluzione normativa ha assunto sostanziale importanza l’analisi del rischio e la valutazione di impatto (“Data Protection Impact Assessment”, DPIA). In particolare, è richiesto che il titolare del trattamento debba, in prima battuta, auto-valutare il livello di rischio della propria attività e adottare le necessarie misure di tutela delle informazioni che tratta. Il responsabile delle Entrate ha specificato al riguardo che, nonostante, non sia sempre obbligatoria, l’Agenzia, per ogni tipologia di analisi del rischio svolta, ha sempre redatto la DPIA, così da massimizzare la tutela dei diritti degli interessati. Le DPIA, in alcuni casi, sono state anche inviate al Garante per l’approvazione preventiva.

Il direttore ha assicurato che in tutti i processi di analisi del rischio svolti dall’Amministrazione finanziaria l’intervento umano è garantito sia a monte sia a valle del procedimento e che i percorsi di analisi sono interamente sviluppati dal personale dell’Agenzia. Inoltre, gli algoritmi utilizzati dall’Agenzia delle entrate sono sempre spiegabili (ossia è possibile comprendere le variabili che hanno portato ad un determinato risultato), non discriminatori e – nei limiti previsti dalle disposizioni di riferimento – trasparenti.

Sempre nell’ambito delle attività di analisi del rischio, vengono utilizzati diversi software che si differenziano per il grado di flessibilità delle elaborazioni possibili. Esclusivamente a livello centrale e presso una sola articolazione organizzativa sono in uso degli applicativi che permettono l’implementazione di algoritmi predittivi. Il personale addetto è in possesso di una particolare qualificazione professionale in ambito ingegneristico, econometrico, statistico, fisico, così da garantire sempre un elevato livello qualitativo delle elaborazioni.

Proseguendo, il direttore Ruffini ha affrontato il tema delle prescrizioni specifiche del Garante della privacy e, in particolare, con riferimento all’Archivio dei rapporti finanziari, che costituisce un’apposita sezione dell’Anagrafe tributaria.

In tale ambito il direttore ha reso note le singole misure addizionali di garanzia previste per l’utilizzo dei dati dell’Archivio dei rapporti finanziari per il rispetto dei dati personali. Nel dettaglio riguardano la pseudonimizzazione, la segregazione organizzativa, il trattamento dei contribuenti minorenni e i dati fattura integrati.

Per quanto concerne l’implementazione del modello privacy, in linea con l’esigenza di digitalizzazione, l’Agenzia ha adottato, nell’ambito del Sistema integrato della fiscalità (Sif) e con il supporto di Sogei, un’apposita piattaforma per gestire, con un approccio integrato, gli aspetti di governance, rischio e controllo dei processi di protezione dati richiesti al fine di una corretta responsabilizzazione dell’ente.

In tema di Cybersecurity, la complessità della gestione del patrimonio dell’Agenzia a livello di infrastruttura informatica e la rilevanza dei dati trattati, impone, ha osservato il direttore, la necessità di intraprendere tutte le azioni e gli investimenti necessari a progettare e attuare azioni concrete per la salvaguardia del sistema nel suo complesso. Per questo, una parte rilevante delle attività svolte dall’Agenzia si è concentrata sulla realizzazione di strumenti e procedure operative che, in base agli standard internazionali in tema di sicurezza, hanno centralizzato il governo del sistema di controllo degli accessi e affidato ai responsabili delle varie strutture organizzative la gestione e il monitoraggio delle abilitazioni dei dipendenti.

In particolare, la sicurezza informatica agisce nelle aree: Governance della sicurezza, Evoluzione e ampliamento del sistema di tracciamento degli accessi, Identity Access Management (IAM), Endpoint security, Standardizzazione delle procedure di firma e cifratura, Formazione e security awareness, Adeguamento allo standard AgID, Evoluzione delle applicazioni ad uso nell’ambito della sicurezza informatica, Coordinamento delle attività di sicurezza informatica tra Agenzia e Sogei, Ottimizzazione delle procedure di interazione con organismi di sicurezza, Estensione della cifratura dei dispositivi portatili, adozione di soluzioni di autenticazione forte e separazione tra ambienti elaborativi.

Il direttore Ruffini ha concluso precisando che alle misure sopra descritte si aggiungono tutte le attività di sicurezza realizzate da Sogei sui sistemi e sui servizi prestati per conto dell’Agenzia ai cittadini. Inoltre, è svolta regolarmente attività di vigilanza informatica per monitorare, migliorare e incrementare i presidi di sicurezza informatica dell’Anagrafe tributaria.