Sommario: 1. Premessa - 2. Il quadro Unionale in materia di protezione dei dati personali ed intelligenza artificiale – 3. La trasformazione digitale ed il fiscalismo – 4. L’uso dei dati personali ed i margini di tutela del contribuente – 5. L’uso dell’intelligenza artificiale ed i baluardi della legalità algoritmica e della riserva di umanità – 6. Conclusioni.
1. Premessa
La trasformazione digitale del rapporto tra autorità fiscali e contribuenti sta dando origine ad impulsi tecnocratici che mettono in crisi le fondamenta dello Stato di diritto. La trasformazione digitale è spesso concepita come un alibi per aggirare i limiti posti dalla legge all’esercizio dei poteri delle autorità fiscali.
In tutti gli Stati si percepisce un tentativo di sfruttamento, da parte del Potere esecutivo, dell’attuale stagione improntata alla trasformazione digitale (in corso non solo in ambito fiscale) come opportunità per ridurre di fatto lo spazio di libertà, emarginando il ruolo del Potere legislativo.
In materia fiscale, i Governi alimentano il tradizionale fiscalismo, sovraesponendo e strumentalizzando il problema dell’evasione fiscale, per giustificare le loro carenze nella gestione delle politiche economiche, dando corpo a gravi mortificazioni dello Stato di diritto.
Sul fronte delle garanzie dei contribuenti gli ordinamenti nazionali si mostrano insensibili, ma sul piano sovranazionale è possibile rinvenire alcuni limiti al fiscalismo[1].
Rilevante risulta il quadro offerto dal diritto Unionale nei due settori nevralgici della trasformazione digitale, la protezione dei dati personali e l’intelligenza artificiale.
Invero il diritto Unionale pone delle significative garanzie a protezione dei dati personali, pur contemplando possibili deroghe in ambito tributario.
In questa sede non è certo possibile soffermarsi sul quadro generale delle garanzie, che del resto non presente alcuna peculiarità rilevante ai fini tributari e risulta estraneo al sistema della giustizia tributaria[2].
Qui interessa evidenziare che è possibile individuare margini per la tutala del contribuente, laddove il diritto Unionale pone delle garanzie di carattere generale, consente deroghe in materia tributaria, ma richiede che tali deroghe siano comunque articolate in modo tale da assicurare un minimo standard di salvaguardia.
La questione di fondo è quindi quella di verificare se nell’ordinamento italiano tali deroghe esistano, siano state correttamente introdotte, risultino articolate in modo tale da salvaguardare il minimo standard delle garanzie Unionali. Sarà poi necessario identificare l’eventuale tipologia dei vizi degli atti impositivi ed i margini di tutela del contribuente nell’ambito della giustizia tributaria.
Viceversa per quanto riguarda l’uso dell’intelligenza artificiale, allo stato ancora alquanto marginale ed astratto, le salvaguardie Unionali risultano alquanto eteree, ma il quadro delle garanzie e delle tutele è stato elaborato in via pretoria dalla lungimirante giurisprudenza del Consiglio di Stato, che ha dato corpo alla legalità algoritmica ed alla riserva di umanità, agevolmente trasponibili dal diritto amministrativo generale al diritto tributario.
2. Il quadro Unionale in materia di protezione dei dati personali ed intelligenza artificiale
Il poderoso impianto delle garanzie di cui al Regolamento UE 2016/679 (d’ora in avanti “GDPR”) risulta derogato dall’art. 23, relativo alle “Limitazioni”, secondo cui il diritto dell’Unione o dello Stato può limitare, mediante misure legislative, la portata dei diritti tutelati, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare: a) la sicurezza nazionale; b) la difesa; c) la sicurezza pubblica; d) la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali; e) altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale; f) la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari; ecc.
Tuttavia, la stessa norma aggiunge che tali misure legislative debbono contenere disposizioni specifiche riguardanti: a) le finalità del trattamento o le categorie di trattamento; b) le categorie di dati personali; c) la portata delle limitazioni introdotte; d) le garanzie per prevenire abusi o l’accesso o il trasferimento illeciti; e) l’indicazione precisa del titolare del trattamento o delle categorie di titolari; f) i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento; g) i rischi per i diritti e le libertà degli interessati; h) il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa.
Soffermandoci sui profili che qui rilevano, si ritiene che si tratti di principi espressivi di un apprezzabile bilanciamento, in quanto la deroga alla tutela dei diritti in materia tributaria: —richiede un intervento legislativo; — fa salva l’essenza dei diritti e delle libertà fondamentali; — deve risultare misura necessaria e proporzionata in una società democratica per salvaguardare i superiori interessi pubblici; — deve comunque assicurare residuali e minimali garanzie attuative, fra le quali spiccano i rischi per i diritti e le libertà degli interessati ed il loro diritto ad essere informati della limitazione.
A proposito della base normativa su cui fondare tali deroghe, il considerando n. 41 del Regolamento prevede che laddove si “faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l’adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell’ordinamento costituzionale dello Stato membro interessato”. Clausola comprensibile, considerando l’estrema varietà ordinamentale dei diversi Stati membri sul piano delle fonti, ma di certo inidonea a degradare il livello delle garanzie richiesto dalle prescrizioni costituzionali dei diversi Stati (in merito all’esperienza italiana v. infra § 5).
Per quanto riguarda l’intelligenza artificiale, il Regolamento (UE) 2024/1689[3] riconosce che le azioni delle autorità pubbliche basate su sistemi di IA “sono caratterizzate da un livello significativo di squilibrio di potere e possono portare alla sorveglianza, all’arresto o alla privazione della libertà di una persona fisica, come pure avere altri impatti negativi sui diritti fondamentali” garantiti nella Carta dei diritti fondamentali dell’Unione europea (c.d. carta di Nizza). Ed invero “il sistema di IA, se non è addestrato con dati di elevata qualità, se non soddisfa requisiti adeguati in termini di accuratezza o robustezza, o se non è adeguatamente progettato e sottoposto a prova prima di essere [...] messo in servizio, può individuare le persone in modo discriminatorio o altrimenti errato o ingiusto. Potrebbe inoltre essere ostacolato l’esercizio di importanti diritti procedurali fondamentali, quali il diritto a un ricorso effettivo e a un giudice imparziale, nonché i diritti della difesa e la presunzione di innocenza, in particolare nel caso in cui tali sistemi di IA non siano sufficientemente trasparenti, spiegabili e documentati” (considerando 38).
Su tali basi l’Unione ha proseguito, ritenendo “opportuno classificare come ad alto rischio una serie di sistemi di IA destinati a essere utilizzati nel contesto delle attività di contrasto, in cui l’accuratezza, l’affidabilità e la trasparenza risultano particolarmente importanti per evitare impatti negativi, mantenere la fiducia dei cittadini e garantire la responsabilità e mezzi di ricorso efficaci. In considerazione della natura delle attività in questione e dei rischi ad esse connessi, tra tali sistemi di IA ad alto rischio è opportuno includere, in particolare, i sistemi di IA destinati a essere utilizzati dalle autorità di contrasto per valutazione dei rischi individuali, come poligrafi e strumenti analoghi, oppure per rilevare lo stato emotivo delle persone fisiche, individuare ‘deep fake’, valutare l’affidabilità degli elementi probatori nei procedimenti penali, prevedere il verificarsi o il ripetersi di un reato effettivo o potenziale sulla base della profilazione delle persone fisiche, o valutare i tratti e le caratteristiche della personalità o il comportamento criminale pregresso delle persone fisiche o dei gruppi, nonché ai fini della profilazione nel corso dell’indagine, dell’accertamento e del perseguimento di reati e dell’analisi criminale nei riguardi delle persone fisiche”.
Viceversa, senza che sia esplicitata nei considerando motivazione alcuna, “i sistemi di IA specificamente destinati a essere utilizzati per procedimenti amministrativi dalle autorità fiscali e doganali non dovrebbero essere considerati sistemi di IA ad alto rischio utilizzati dalle autorità di contrasto a fini di prevenzione, accertamento, indagine e perseguimento di reati” (così laconicamente l’ultima parte del considerando 38).
Dal Regolamento emerge comunque che, a norma dell’art. 5, sono sempre e comunque vietate: — alcune forme di elaborazione o uso di sistemi di IA tali da poter provocare discriminazioni e danni, fisici o psicologici; — d) l’uso di sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico a fini di attività di contrasto, salve alcune importanti eccezioni per esigenze di ordine pubblico.
Ai nostri fini spicca il divieto di elaborazione o uso “di sistemi di IA da parte delle autorità pubbliche o per loro conto ai fini della valutazione o della classificazione dell’affidabilità delle persone fisiche per un determinato periodo di tempo sulla base del loro comportamento sociale o di caratteristiche personali o della personalità note o previste, in cui il punteggio sociale così ottenuto comporti il verificarsi di uno o di entrambi i seguenti scenari: i) un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di interi gruppi di persone fisiche in contesti sociali che non sono collegati ai contesti in cui i dati sono stati originariamente generati o raccolti; ii) un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di interi gruppi di persone fisiche che sia ingiustificato o sproporzionato rispetto al loro comportamento sociale o alla sua gravità”.
Ma la grave lacuna, ai fini fiscali, emerge sul fronte delle garanzie relative all’utilizzo dei sistemi di IA ad alto rischio (artt. 6 ss.), per l’appunto a priori ed acriticamente escluse per i procedimenti amministrativi delle autorità fiscali e doganali.
In materia fiscale e doganale sono infatti esclusi gli apparati garantistici in tema di: — sistema di gestione dei rischi (art. 9); governance dei dati (art. 10); documentazione tecnica (art. 11); conservazione delle registrazioni (art. 12); trasparenza e fornitura di informazioni (art. 13); sorveglianza umana (art. 14); accuratezza, robustezza e cibersicurezza (art. 15); obblighi dei fornitori dei sistemi di IA (art. 16); sistema di gestione della qualità (art. 17); obbligo di redigere la documentazione tecnica (art. 18); valutazione della conformità (art. 19); log generati automaticamente (art. 20); misure correttive (art. 21); dovere di informazione (art. 22); cooperazione con le autorità competenti (art. 23); altri vari obblighi gravanti su fabbricanti, gestori, utenti ecc. (artt. 24 ss.).
Risulta quindi evidente che se da un lato l’Unione ha fatto storici passi avanti sul piano delle tutele legali e delle garanzie in materia di IA — prima legge al mondo in materia —, dall’altro la medesima sembra aver subito i condizionamenti dello strisciante ed immanente fiscalismo, che è riuscito a stralciare il settore dalla rete di protezione dell’AI Act, dando addirittura corpo ad un arretramento rispetto a quanto previsto per la materia tributaria dal Regolamento in materia di protezione dei dati personali.
Ciononostante, seppure l’AI Act non contiene un analogo livello di garanzie specificamente dedicato ai sistemi di IA, postula comunque l’applicabilità del GDPR alla protezione dei dati personali posti a base dei sistemi di IA[4].
3. La trasformazione digitale ed il fiscalismo
A livello nazionale la trasformazione digitale si muove a senso unico. Basti pensare al caso italiano in cui si assiste da oltre un decennio al continuo e costante potenziamento degli apparati informatici, dei data base e degli strumenti tecnologici a disposizione dell’Agenzia delle Entrate, senza alcun segnale sul versante dell’adeguamento dei diritti dei contribuenti alla trasformazione digitale[5].
Di tutto ciò è sintomatico il ridimensionamento delle garanzie Unionali in tema di protezione dei dati personali e del ruolo del Garante nazionale della privacy sul fronte dei rapporti tributari[6]. Ma possono essere colti anche esempi relativi all’attività di controllo.
Ormai da anni tutto il sistema degli adempimenti dei contribuenti, delle comunicazioni e delle notifiche è stato informatizzato, ma purtroppo in ragione del diffuso gap tecnologico si ha notizia di centinaia di casi di contribuenti vittime di incolpevoli errori informatici.
Orbene, in materia tributaria non è prevista la rimessione in termine per errore scusabile (rimessione invece normalmente prevista in tutti i procedimenti civili ed amministrativi), per cui è emersa la necessità di introdurre una norma secondo cui “l’amministrazione in ambito procedimentale e il giudice in ambito processuale, dispongono, anche d’ufficio, la rimessione in termini per errore scusabile in ragione delle oggettive ragioni di incertezza su questioni di diritto o di gravi impedimenti di fatto o di errori conseguenti dall’uso delle procedure informatiche e digitali”[7]. Ma le Istituzioni nazionali si sono mostrate insensibili, nonostante la presenza di molteplici norme che viceversa consentono rimedi a fronte di errori dell’Amministrazione o derubricano a mere irregolarità tollerabili vere e proprie violazioni di legge presenti negli atti impositivi.
Prendiamo poi il caso della fatturazione elettronica, in Italia ormai da tempo obbligatoria per legge: in passato, l’Agenzia delle Entrate doveva svolgere indagini cartolari complesse, effettuare accessi, controlli ed ispezioni per acquisire materialmente i dati relativi ai contribuenti, alle operazioni, alle fatture, ecc.; ora l’Agenzia riceve per via telematica tutte le copie di tutte le fatture tempo reale, man mano che vengono emesse, così come riceve immediata comunicazione telematica di tutti i flussi dei versamenti iva; il sistema consente all’Agenzia di acquisire in tempo reale dati personali di imponente rilevanza qualitativa e quantitativa, tanto da aver occasionato anche interventi da parte del Garante nazionale per la privacy[8]. Se in passato il termine per i controlli iva era di cinque anni, dalla presentazione della dichiarazione iva annuale, ora, con l’avvento della fatturazione elettronica, stante l’immediata conoscibilità delle operazioni e dei flussi, le notifiche tramite posta elettronica certificata ecc., tale termine dovrebbe essere ridotto, con adattamento consequenziale, basato sul principio di proporzionalità; viceversa si è assistito ad un ampliamento di tali termini, mediante interventi legislativi strumentalmente giustificati dal contrasto dell’evasione.
Lo stesso vale per la riscossione dei crediti tributari: l’Agenzia della Riscossione normalmente ha un termine di prescrizione di dieci anni, ma questo termine è anacronistico. Una volta l’Agente della riscossione doveva cercare fisicamente o manualmente su base cartacea beni mobili, immobili, conti bancari, ecc., e quindi avviare il pignoramento; oggi la ricerca viene effettuata in via informatica in pochi minuti, grazie ai potenti database a disposizione dell’Agente di riscossione (che ovviamente contengono dati personali meritevoli di protezione); inoltre l’Agenzia può ora avvalersi di notifiche a mezzo posta elettronica e di tanti altri moderni strumenti digitali; di conseguenza, il termine decennale dovrebbe essere notevolmente ridotto. Si è invece assistito ad una enorme dilatazione dei tempi della riscossione, mediante atti interruttivi dei termini o norme di legge di proroga, tanto che ancora oggi il carico dei crediti tributari da riscuotere ricomprende somme risalenti addirittura agli anni 2.000–2.010[9].
Del resto, come sempre, nella logica dello Stato di diritto, una misura di garanzia per il contribuente è quanto più è ragionevole, quanto più risponde anche all’interesse pubblico. Ed è appena il caso di evidenziare che non ha senso consentire che l’Amministrazione impieghi cinque anni per effettuare un controllo che tecnicamente può essere effettuato in pochi mesi o impieghi venti anni per riscuotere un credito. L’affidamento su lunghi termini di decadenza e/o prescrizione induce l’Amministrazione a rallentare la tempistica della propria attività, dando corpo a gravi inefficienze.
Nella maggior parte dei Paesi a fiscalità complessa, la trasformazione digitale ha profondamente inciso sui rapporti tributari, molto di più di altre branche del diritto, in quanto, in questa materia, la digitalizzazione è stata caratterizzato dalla coattività, giustificata da logiche di efficienza e modernizzazione funzionali alle esigenze della fiscalità di massa (del controllo di una platea dei contribuenti sempre più ampia) ed ai crescenti bisogni della finanza pubblica. Eppure, nonostante la marcata trasformazione digitale dell’azione impositiva, l’esigenza di adeguamento delle garanzie dei contribuenti al mutato contesto stenta ad assumere evidenza ed è fortemente resistita dalla autorità fiscali, che tendono a marginalizzarla dal dibattito politico istituzionale, dall’attenzione del legislatore e più in generale dall’agenda tributaria.
Sintomatica dei guasti del fiscalismo è certamente la vicenda delle deroghe consentite in ambito tributario a fronte della protezione dei dati personali.
4. L’uso dei dati personali ed i margini di tutela del contribuente
Come si è avuto modo di evidenziare il GDPR si pone come importante punto di riferimento laddove assicura un adeguato livello di tutela per la protezione dei dati personali, consentendo di limitare, mediante misure legislative, la portata dei diritti tutelati, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare vari interesse pubblici di particolare rilevanza, tra i quali, ai nostri fini, spicca l’interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria (v. retro §1).
Il GDPR richiede che le eventuali misure legislative di deroga contengano disposizioni specifiche riguardanti il bilanciamento tra i vari interessi in gioco, con particolare riferimento alle finalità ed alle categorie di trattamento, alle categorie di dati personali, alla portata delle limitazioni, alle garanzie per prevenire abusi o accessi o trasferimenti illeciti, l’indicazione precisa del titolare del trattamento, dei periodi di conservazione, delle garanzie applicabili ecc. (v. retro § 1).
Orbene, a proposito della base normativa su cui fondare tali deroghe, il considerando n. 41 del Regolamento prevede che laddove si “faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l’adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell’ordinamento costituzionale dello Stato membro interessato”. Clausola comprensibile, in ragione dell’estrema varietà degli Stati membri sul piano delle fonti, ma ovviamente inidonea a degradare il livello delle garanzie costituzionali vigente nei diversi Stati. Così, ad. es., nel nostro ordinamento la deroga al Regolamento Unionale deve essere necessariamente attuata con norma di legge, in ragione dell’equilibrio formale tra norma derogata e norma derogante, ma, soprattutto, in ragione delle prescrizioni costituzionali che sottopongono a riserva di legge le limitazioni della segretezza della corrispondenza e di ogni altra forma di comunicazione (art. 15 Cost.) e l’organizzazione dei pubblici uffici (art. 97 Cost.).
Viceversa il legislatore italiano ha subito i condizionamenti del fiscalismo, ponendo le basi per eludere lo standard minimo Unionale e svilendo le garanzie costituzionali. Infatti prima il d.l. vo 10 agosto 2018, n. 101, nell’adeguare il Codice italiano in materia di protezione dei dati personali (d.l. vo 30 giugno 2003, n. 196) alle disposizioni del Regolamento (UE) 2016/679, ne ha completamente ignorato tutte le minimali e residuali garanzie, e poi, una successiva modifica (mediante d.l. 8 ottobre 2021, n. 139), si è spinta sino a consentire deroghe anche mediante meri atti amministrativi generali (art. 2 sexies)[10]. E per cogliere la brutalità del fiscalismo si consideri che gli atti amministrativi generali in Italia rientrano nelle normali competenze gestorie della P.A. ed hanno un rango molto inferiore rispetto ai veri e propri regolamenti amministrativi (qualificate fonti del diritto)[11]. Pertanto, ove mai le deroghe alle garanzie poste dal GDPR non venissero introdotte da norme di legge si porrebbero seri dubbi di legittimità costituzionale.
Comunque, questa vicenda offre lo spunto per individuare concreti ed attuali margini di tutela del contribuente.
Invero nel ginepraio legislativo italiano non si rinviene alcuna base normativa (e nemmeno atti generali o regolamenti) tale da configurare un sistema nazionale di deroga, ai fini tributari, alle generali garanzie poste dal GDPR a livello Unionale.
Anche laddove emergono dati normativi astrattamente rilevanti il sistema delle deroghe resta allo stato inattuato.
Si pensi all’art. 2, comma 4, del D.Lgs. 12 febbraio 2024, n. 13, nel quale, “Limitatamente alle attività di analisi del rischio condotte dall'Agenzia delle entrate”, si prevede che il diritto alla tutela dei dati personali dei contribuenti possa subire delle limitazioni, la cui definizione è rimessa ad un regolamento del Ministero dell’economia e delle finanze[12]. Ad oggi tale regolamento è ancora inesistente.
Da tutto ciò consegue che laddove i dati personali vengano utilizzati nell’azione impositiva senza l’attuazione dello specifico sistema di deroga ai fini tributari, consentito dal GDPR, dovranno trovare normale applicazione le garanzie generali previste dallo stesso GDPR. Tali garanzie potranno dar corpo alle stesse forme di tutela normalmente previste per la protezione dei dati personali, ovviamente al di fuori della giurisdizione tributaria[13]. Inoltre laddove l’utilizzo dei dati personali a fini tributari dia lugo ad atti ed a situazioni soggettive rientranti nella giurisdizione tributaria, le forme di tutela saranno quelle tipicamente previste per la materia tributaria.
Allo stato (in assenza delle deroghe) anche in materia tributaria debbono essere salvaguardati e garantiti i diritti contemplati dal GDPR: art. 12, “Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell'interessato”; art. 13, “Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato”; art. 14, “Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessato”; art. 15, “Diritto di accesso dell'interessato”; art. 16, “Diritto di rettifica”; art. 17, “Diritto alla cancellazione («diritto all'oblio»”; art. 18, “Diritto di limitazione di trattamento”; art. 19, “Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento”; art. 20, “Diritto alla portabilità dei dati”; art. 21, “Diritto di opposizione”; art. 22, “Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”; art. 34, “Comunicazione di una violazione dei dati personali all'interessato”.
Ovviamente in questa sede non è consentito entrare nel dettaglio di tali disposizioni, che assicurano un poderoso ed analitico apparato garantistico, su cui è imperniato anche il sistema interno di protezione dei dati personali[14].
Ove in futuro verranno emanate le specifiche norme derogatorie, la tutela del contribuente verrà ad essere certamente ridimensionata e l’attenzione dell’interprete dovrà focalizzarsi sull’adeguatezza delle deroghe e sulla loro compatibilità con le garanzie generali poste dal GDPR e dalla normativa interna di protezione dei dati personali.
Per finire, merita appena un cenno la tipologia dei vizi di legittimità attualmente configurabili in ragione della violazione delle garanzie attinenti alla protezione dei dati personali. L’alternativa è tra l’ipotesi dell’annullabilità e quella della mera inutilizzabilità.
Nel sistema della recente riforma dello Statuto del contribuente il nuovo art. 7 quinquies si occupa dei vizi dell’attività istruttoria, o meglio dell’istruttoria probatoria (limitatamente alla materia tributaria stricto sensu), prevedendo che “non sono utilizzabili ai fini dell'accertamento amministrativo o giudiziale del tributo gli elementi di prova acquisiti oltre i termini di cui all'articolo 12, comma 5, o in violazione di legge”. Il normale regime dell’annullabilità ex art. 7 bis viene derogato, giacché le violazioni di legge inficianti gli atti dell’istruttoria probatoria, a differenza di quanto avviene per tutte le altre violazioni di legge, relative a tutti gli altri atti endoprocedimentali, non si riverberano in via derivata sulla validità del provvedimento impositivo. L’illegittima acquisizione si risolve nella mera inutilizzabilità della prova, ma non vizia il provvedimento.
Tuttavia la deroga in questione ha un ambito applicativo chiaramente circoscritto ai soli atti di acquisizione di prove illegittime, e quindi, ovviamente, non riguarda tutti i vizi della fase istruttoria a monte o a valle dell’acquisizione (ad es. le violazioni dell’art. 12, comma 2, in tema di diritto del contribuente alle informazioni preliminari alla verifica, o comma 4, in tema di indicazione nel verbale delle osservazioni rese dal contribuente e/o dal suo consulente nel corso della verifica). Infine, la deroga fa esclusivo riferimento all'accertamento amministrativo o giudiziale del tributo, e quindi, inequivocabilmente non si applica all’accertamento delle violazioni, ai dinieghi di agevolazioni, ai dinieghi di rimborso, agli atti della riscossione ecc.
Orbene si ritiene che la maggior parte dei diritti salvaguardati dal GDPR -e dalla normativa interna sulla protezione dei dati personali- non riguardi il tema dell’acquisizione delle prove, per cui, in linea di principio, in caso di violazione di tali diritti saranno configurabili vizi di annullabilità.
5. L’uso dell’intelligenza artificiale ed i baluardi della legalità algoritmica e della riserva di umanità
Come retro evidenziato, l’AI Act, ai fini tributari non contiene un meccanismo garantistico analogo a quello del GDPR, ma ovviamente restano ferme le garanzie attinenti alla protezione dei dati personali posti a base dei sistemi di IA.
Sotto altro profilo, nella salvaguardia dell’acquis dello Stato di diritto, l’ordinamento giuridico italiano ha maturato un significativo grado di metabolizzazione dell’applicazione dell’IA ai fini dell’istruttoria e delle decisioni amministrative, nato e consolidatosi nel sistema della giustizia amministrativa, ma certamente riferibile de plano anche alla giustizia tributaria.
Dopo un iniziale dibattito dottrinale e giurisprudenziale vi è ormai concordia nel recepire i ragionevoli ed antesignani approdi cui è giunto il Consiglio di Stato.
È stato chiarito che di fronte a «procedure seriali o standardizzate, implicanti l’elaborazione di ingenti quantità di istanze e caratterizzate dall’acquisizione di dati certi ed oggettivamente comprovabili e dall’assenza di ogni apprezzamento discrezionale..., l’assenza di intervento umano... e l’affidamento di tale attività a un efficiente elaboratore elettronico appaiono come doverose declinazioni dell’art. 97 Cost. coerenti con l’attuale evoluzione tecnologica»[15]. Tuttavia, è stato acutamente precisato come «l’utilizzo di procedure “robotizzate” » non possa essere «motivo di elusione dei princìpi che conformano il nostro ordinamento e che regolano lo svolgersi dell’attività amministrativa», quale quelli di «pubblicità e trasparenza»[16].
In tale ottica, laddove vengano introdotte forme di una automatizzazione del procedimento amministrativo, assume rilevanza ancora più accentuata l’obbligo di motivazione, in quanto “ la regola algoritmica deve essere non solo conoscibile in sé, ma anche soggetta alla piena cognizione, e al pieno sindacato, del giudice”[17]. Tirando le fila “in uno scenario di decisioni amministrative adottate grazie a strumenti ICT quali gli algoritmi d’intelligenza artificiale (debole o forte che sia), l’obbligo di motivazione, lungi dal perdere significato, ne esce rafforzato”[18].
Per tale via nel nostro ordinamento si è ormai consolidata la concezione della legalità algoritmica e della riserva di umanità, nel senso di “trasparenza” ed “intelligibilità” dell’algoritmo e di inderogabilità dell’intervento umano “a valle” dell’elaborazione informatica[19].
Per quanto riguarda l’azione impositiva non c’è dubbio che debbano essere recepiti integralmente gli approdi della giurisprudenza del Consiglio di Stato[20] -secondo un percorso analogo, multiformemente emergente in tanti diversi ordinamenti giuridici - quand’anche parte della dottrina tributaria indugi su alcune puntualizzazioni. L’utilizzo degli algoritmi nella fase dell’istruttoria tributaria presuppone la corretta impostazione tecnica delle finalità e dei mezzi, con l’onere di rendere trasparenti le modalità di funzionamento, dimostrandone la conformità alle regole poste dalle norme primarie. Pertanto, è stato osservato che “a differenza di quanto è ipotizzabile nel diritto amministrativo, l’utilizzo degli algoritmi nella nostra materia soggiace ad un duplice ordine di vincoli e, cioè, la conoscibilità e la comprensibilità della regola nel rispetto del principio della trasparenza rafforzata ma, soprattutto, l’adozione di regole conformi alle norme primarie, sostanziali e procedimentali, per evitare che la ponderazione degli interessi sia sottratta al legislatore per essere rimessa all’ente impositore”[21].
6. Conclusioni
A questo punto vanno focalizzati i margini per una effettiva tutela del contribuente.
Va ripreso, e contestualizzato rispetto ai rapporti tributari, il sistema delle garanzie del Regolamento in materia di protezione dei dati personali. Nel sistema del GDPR esiste una adeguata base normativa su cui fondare i diritti digitali dei contribuenti.
Va chiarita e salvaguardata la necessità di sottoporre a stretta interpretazione ed applicazione le misure di deroga ai sistemi di garanzia. Tuttavia, in generale, è possibile individuare significativi margini per la tutala del contribuente nell’ambito della protezione dei dati personali, laddove il diritto Unionale pone delle garanzie di carattere generale, consente deroghe in materia tributaria, ma richiede che tali deroghe siano comunque articolate in modo tale da assicurare un minimo standard di salvaguardia.
Nell’ordinamento italiano tali deroghe attualmente non esistono, pertanto debbono trovare normale applicazione le garanzie generali previste dallo stesso GDPR. Tali garanzie potranno dar corpo alle stesse forme di tutela normalmente previste per la protezione dei dati personali. Laddove l’utilizzo dei dati personali a fini tributari dia luogo ad atti ed a situazioni soggettive rientranti nella giurisdizione tributaria, le forme di tutela saranno quelle tipicamente previste per la materia tributaria.
Ove in futuro verranno emanate le specifiche norme derogatorie, la tutela del contribuente verrà ad essere certamente ridimensionata e l’attenzione dell’interprete dovrà focalizzarsi sulle deroghe e sulla loro compatibilità con le garanzie generali poste dal GDPR e dalla normativa interna.
Per quanto riguarda l’uso dell’intelligenza artificiale le salvaguardie Unionali risultano marginali rispetto alle particolarità della nostra materia, ma il quadro delle garanzie e delle tutele è stato elaborato in via pretoria dalla lungimirante giurisprudenza del Consiglio di Stato, che ha dato corpo alla legalità algoritmica ed alla riserva di umanità, agevolmente trasponibili dal diritto amministrativo generale al diritto tributario.
[1] Su tali profili v. per tutti: A. Contrino, Digitalizzazione dell’amministrazione finanziaria e attuazione del rapporto tributario: questioni aperte e ipotesi di lavoro nella prospettiva dei princìpi generali, in Riv. dir. trib., 2023, 105 ss.; Id., Protezione dei dati personali e pervasività delle banche dati fiscali: quale contemperamento? in Aa.Vv., La digitalizzazione dell’amministrazione finanziaria tra contrasto all’evasione e tutela del contribuente, (a cura di) E. Marello, A. Contrino, Milano 2023, 123; L. del Federico, Old and New Taxpayers' Rights in the Digital Age: Supranational Convergences, in International Tax Studies, 2025 (Volume 8), No. 3; Id., Riaffermazione e modernizzazione dei diritti dei contribuenti nella trasformazione digitale, (2024) 1 EJPLT, 136; Id., Sui diritti dei contribuenti nell’era della trasformazione digitale, in Dir. prat. trib. Intern., 2024, I, 71-96.
[2] Per quanto riguarda il trattamento dei dati personali tutto ruota sui principi di accountability e liability. Sotto il primo profilo, in ottica di prevenzione del danno, ai sensi dell’art. 77, comma 1, del Regolamento (UE) 2016/679 “Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un'autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione” (A. Mantelero, Responsabilità e rischio nel Reg. UE 2016/679, in Nuove leggi civ. comm., 2017, 146 ss.; D. Barbierato, Trattamento dei dati personali e «nuova» responsabilità civile, in Resp. Civ. Prev., n. 6, 2019, 2151 ss.). Il secondo profilo della liability, responsabilità ex post, si configura quando si è verificato un danno, ossia quando le apposite misure tecniche ed organizzative non sono state adottate oppure non si sono rivelate efficaci per garantire il rispetto dei principi posti dal Regolamento a tutela e protezione dei dati personali (E. Tosi, Responsabilità civile per illecito trattamento dei dati personali e danno non patrimoniale, Milano, 2019, 52 ss.). Per il quadro generale v. G. Finocchiaro (diretto da), La protezione dei dati personali in Italia, Bologna, 2019.
[3] Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull'intelligenza artificiale (noto anche come Regolamento sull'intelligenza artificiale o AI Act).
[4] Per l’inquadramento generale v. A. Marinello, L’utilizzo dell’intelligenza artificiale da parte del Fisco: limiti e prospettive, anche alla luce dell’Artificial Intelligence Act dell’Unione Europea, in Riv. Dir. trib., suppl. on line, dicembre 2024.
[5] In merito v.: A. Contrino, Digitalizzazione dell’amministrazione finanziaria e attuazione del rapporto tributario cit.; Id., Banche dati tributarie, scambio di informazioni fra autorità fiscali e “protezione dei dati personali” cit.; F. Farri, Digitalizzazione dell’amministrazione finanziaria e diritti dei contribuenti, in Riv. dir. trib., 2021, 115 ss.; A. Carinci, Fisco e privacy: storia infinita di un apparente ossimoro, in Fisco, 2019, 4407 ss.
[6] Su tale fenomeno nell’esperienza Italiana v.: A. Carinci, Fisco e privacy, cit.; C. Laudanna, Norme privacy in rapporto alla lotta all’evasione fiscale, in Data Protection Law, 2021, 1, 34 ss. (https://www.dataprotectionlaw); L. Izzo, Il difficile rapporto tra il diritto alla privacy e il dovere di contribuzione alla spesa pubblica, in EJPLT, 2022, 2, 197-200 (https://doi.org/10.57230/EJPLT222LI); G. Consolo, Sul trattamento dei dati personali nell’ambito delle nuove procedure automatizzate per il contrasto dell’evasione fiscale, in Aa.Vv., La digitalizzazione, cit., 186-188. Per una lettura in chiave comparata v. C. Francioso, Automated decision making by tax authorities and protection of taxpayers’ rights in a comparative perspective, in Riv. Trim Dir. Trib., 2023, 3, 541 ss.
[7] Nell’ambito delle recenti riforme tributarie, l’Associazione Italiana dei Professori e degli Studiosi del Diritto Tributario — AIPSDT ha vanamente proposto di inserire nello Statuto dei Diritti del contribuente una norma volta a colmare tale grave lacuna.
[8] Sui quali v. i riferimenti di cui alla nota 6.
[9] OCSE, Italy’s tax administration. A review of institutional and governance aspects, 2016.
[10] Il D. Lgs. n. 196/2003, nella sua originaria formulazione, prevedeva, agli articoli 2-ter e 2-sexies, che la base giuridica per il trattamento dei dati personali da parte dei soggetti pubblici dovesse essere costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento. Con le modifiche introdotte dal D.L. n. 139/2021 è stato ampliato il novero delle fonti che possono costituire “base giuridica”. In particolare: è stato espunto il riferimento ai “casi previsti dalla legge”, con la conseguenza che è oggi possibile utilizzare il regolamento, fonte secondaria, anche se non immediatamente previsto dalla fonte primaria; inoltre, è stata prevista la possibilità che il trattamento si fondi anche su un “atto amministrativo generale”, e quindi su un provvedimento dell’Agenzia delle Entrate.
[11] Sul tema v. le acute considerazioni di A. Contrino, Protezione dei dati personali e pervasività delle banche dati fiscali, cit., 123 ss., e da ultimo C. Ricci, Intelligenza artificiale e procedimento tributario tra “responsabilizzazione” dell’Amministrazione finanziaria e principio di legalità, in TAX NEWS, luglio 2025.
[12] Per specifici rilievi critici su questa delega legislativa v. S. Dorigo, L’Amministrazione finanziaria e l’uso dell’intelligenza artificiale: gli indirizzi della delega fiscale e gli approdi (poco rassicuranti) in sede attuativa, in Riv. Dir. Trib. suppl, on line, giugno 2024.
[13] V. retro nota 2.
[14] Si rinvia a G. Finocchiaro, La protezione dei dati personali in Italia cit.
[15] Cons. Stato, sez. VI, 8 aprile 2019, n. 2270, punto 8.1.
[16] Cons. Stato n. 2270/2019 cit., punto 8.2.
[17] Cons. Stato n. 2270/2019 cit., punto 8.4.
[18] In tal senso, tra le tante, Cons. Stato: n. 2270/2019 cit.; 13 dicembre 2019, n. 2963; 13 dicembre 2019, n. 8472; 4 febbraio 2020, n. 881 (con pregnanti riferimenti alla normativa sovranazionale). Per un quadro del dibattito e degli approdi concreti cui esso ha dato luogo nella giurisprudenza amministrativa v.: D.U. Galetta, Digitalizzazione e diritto ad una buona amministrazione (Il procedimento amministrativo, fra diritto UE e tecnologie ICT, in R. Cavallo Perin, D.U. Galetta (a cura di), Il Diritto dell’Amministrazione Pubblica digitale, Torino, 2020, 85 ss.; Id., Algoritmi, procedimento amministrativo e garanzie: brevi riflessioni, anche alla luce degli ultimi arresti giurisprudenziali in materia, in Riv. It. dir. Pubbl. com., 2020, 3; E. Chiti, B. Marchetti, N. Rangone, L’impiego di sistemi di intelligenza artificiale nelle pubbliche amministrazioni italiane: prove generali, in A. Pajno, F. Donati, F.A. Perucci (a cura di), Intelligenza artificiale e diritto: una rivoluzione, Bologna, 2022, 43 ss.
[19] V. in particolare: G. Avanzini, Decisioni amministrative e algoritmi informatici, Napoli, 2019; L. Previti, La decisione amministrativa robotica, Napoli, 2023; A. Di Martino, Tecnica e potere nell’amministrazione per algoritmi, Napoli, 2023; G. Gallone, Riserva di umanità e funzioni amministrative. Indagine sui limiti dell’automazione decisionale tra procedimento e processo, Padova, 2023; e per un inquadramento generale ed interdisciplinare AA.VV., Scenari dell’intelligenza artificiale. Uomo e algoritmo nelle scienze sociali, a cura di G. Salanitro, Pisa, 2024.
[20] F. Paparella, Procedimento tributario, algoritmi e intelligenza artificiale: potenzialità e rischi della rivoluzione digitale, in Aa.Vv., La digitalizzazione dell’amministrazione finanziaria tra contrasto all’evasione e tutela del contribuente, (a cura di) E. Marello, A. Contrino, Milano 2023, partic. 32-35; S. Dorigo, L’intelligenza artificiale ed il possibile “rinascimento del sistema sanzionatorio tributario, ibidem, partic. 90-94; D. Conte, Digitalizzazione, data protection e tecniche di profilazione nell’attività di accertamento tributario: quali diritti per i contribuenti? ibidem, partic. 152 ss. e per l’adeguamento dello statuto dei diritti del contribuente, 174 ss.; Id., Accertamento tributario e modelli predittivi del rischio di evasione fiscale: il ruolo dell’IA tra tutela dei dati personali e principio del “giusto” procedimento, in Riv. Dir. Trib., 1 del 2024, 154, ss; C. Ricci, Intelligenza artificiale e procedimento tributario cit.
[21] F. Paparella, L’ausilio delle tecnologie digitali nella fase di attuazione dei tributi, in Riv. dir. trib., 2022, 637. Ancora più critico A. Contrino, Digitalizzazione dell’amministrazione finanziaria cit., 119, secondo cui dovrebbe essere la legge a specificare “i contenuti, i fini e le modalità di utilizzazione delle tecnologie stesse, fornendo una risposta seria – subordinatamente a una lettura compiuta e non svalutativa del principio di cui all’art. 23 Cost. – anche al problema della scarsa trasparenza degli algoritmi e del loro carattere potenzialmente discriminatorio”. Ma in realtà tutta l’azione impositiva (così come il complesso delle funzioni amministrative) è già normalmente incentrata sul principio di legalità per cui l’uso dell’intelligenza artificiale non sembrerebbe richiedere apposito supporto legislativo, ferma restando la sua mera natura servente rispetto alla legge, con il doveroso rispetto della legalità algoritmica e della riserva di umanità.
Immagine: particolare dalla Camera di Ovidio o delle Metamorfosi affrescata da Giulio Romano, Palazzo Te, Mantova.
E poi Aggiungi alla schermata principale.
