Comunicazione dei dati contabili all'anagrafe tributaria da parte di banche e operatori finanziari: parere all'Agenzia delle entrate sulle modalità di trasmissione e di conservazione dei dati

Comunicazione dei daticontabili all'anagrafe tributaria da parte di banche e operatori finanziari:parere all'Agenzia delle entrate sulle modalità di trasmissione e diconservazione dei dati

PROVVEDIMENTO DEL 17APRILE 2012

Registro dei provvedimenti n. 145 del 17aprile 2012

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30giugno 2003, n. 196);

VISTA la richiesta di parere dell'Agenzia delle entrate del 12 marzo2012, relativa allo schema di provvedimento del Direttore dell'Agenzia inmateria di "Disposizioni di attuazione dell'articolo 11, commi 2 e 3,del decreto legge 6 dicembre 2011 n. 201, convertito, con modificazioni,dalla legge 22 dicembre 2011 n. 214. Comunicazione integrativa annualeall'archivio dei rapporti finanziari";

VISTE le note dell'Agenzia delle entrate con le quali sono stateriscontrate le richieste di informazioni del Garante (note del 27 marzo, 29marzo, 2 aprile e 5 aprile 2012);

VISTA la nota dell'Agenzia delle entrate con la quale sono statetrasmesse alcune modifiche tecniche al tracciato record allegato allo schema diprovvedimento (nota del 3 aprile 2012);

VISTO il provvedimento del Direttore dell'Agenzia delle entrate del 19gennaio 2007 sul quale il Garante ha espresso il proprio parere in data 11gennaio 2007;

VISTA la documentazioni in atti;

VISTE le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

L'Agenzia delle entrate ha sottoposto al Garante, per l'acquisizionedel relativo parere, uno schema di provvedimento del Direttore dell'Agenziaconcernente le "Disposizioni di attuazione dell'articolo 11, commi 2 e3, del decreto legge 6 dicembre 2011 n. 201, convertito, conmodificazioni, dalla legge 22 dicembre 2011 n. 214. Comunicazione integrativaannuale all'archivio dei rapporti finanziari", che stabilisce lemodalità e i termini della comunicazione integrativa dei dati relativi airapporti finanziari.

A. Il quadro normativo

1. L'archivio dei rapporti finanziari
Glioperatori finanziari comunicano all'anagrafe tributaria l'esistenza e la naturadei rapporti e delle operazioni di natura finanziaria compiute al di fuori diun rapporto continuativo (ad esclusione di quelle effettuate tramite bollettinodi conto corrente postale per un importo unitario inferiore a 1.500 euro), aisensi dell'articolo 7, sesto comma, del decreto del Presidente della Repubblica29 settembre 1973, n. 605.

Con il provvedimento del 19 gennaio 2007 del Direttore dell'Agenziadelle entrate, sul quale il Garante ha espresso il proprio parere in data 11gennaio 2007, sono state stabilite le modalità e itermini di comunicazione dei predetti dati all'anagrafe tributaria da partedegli operatori finanziari. Il contenuto di tale provvedimento è statointegrato e modificato da ulteriori provvedimenti che hanno aggiunto alcunidati soggetti all'obbligo di comunicazione e sono intervenuti sulle modalitàtecniche di comunicazione dei dati.

In base alle predette disposizioni, nell'apposita sezione separatadell'anagrafe tributaria, c.d. archivio dei rapporti finanziari, attualmenteconfluiscono:

a) i dati identificativi del rapporto, compreso il codice univoco delrapporto;

b) i dati identificativi, compreso il codice fiscale, del soggettopersona fisica o non fisica che ha la disponibilità del rapporto, inclusiprocuratori e delegati;

c) i dati identificativi, compreso il codice fiscale, di tutti icointestatari del rapporto, nel caso di intestazione a più soggetti.

L'accesso all'archivio dei rapporti finanziari è, allo stato, previstoper le indagini finanziarie da parte dell'Agenzia delle entrate e della Guardiadi finanza (art. 32, comma 1, n. 7, del d.P.R. 29 settembre 1973, n. 600 e art.51, comma 2, n. 7 del d.P.R. 26 ottobre 1972, n. 633), oltre che per leulteriori finalità di cui all'art. 7, comma 11, del d.P.R. n. 605 del1973. Una volta acquisite tali informazioni sui rapporti finanziari, i soggettilegittimati possono richiedere attraverso un'apposita procedura telematicatutti i dati di dettaglio direttamente agli operatori finanziari presso i qualii contribuenti sono stati censiti.

Dalla documentazione in atti acquisita dall'Agenzia delle entrate,risulta che, attualmente, l'archivio dei rapporti finanziari contiene circa600.000.000 (seicento milioni) di rapporti attivi e che annualmente glioperatori finanziari effettuano circa 155.000.000 (centocinquantacinquemilioni) di comunicazioni relative alle sole variazioni dei rapporti in esseree alle c.d. operazioni extraconto.

2. La comunicazione integrativa annualeall'archivio dei rapporti finanziari 
Al fine di agevolarel'emersione della base imponibile, la nuova normativa introdotta dal citatodecreto legge n. 201 del 2011 prevede che, oltre a quanto già comunicato, glioperatori finanziari inviino periodicamente all'anagrafe tributaria, a far datadal 1∞ gennaio 2012, anche le movimentazioni che hanno interessato i rapportigià censiti, ed ogni informazione relativa ai predetti rapporti necessaria aifini dei controlli fiscali, nonché l'importo delle operazioni finanziarie (art.11, comma 2).

L'art. 11, comma 3, prevede che "con provvedimento del Direttoredell'Agenzia delle entrate, sentiti le associazioni di categoria deglioperatori finanziari e il Garante per la protezione dei dati personali, sonostabilite le modalità della comunicazione di cui al comma 2, estendendol'obbligo di comunicazione anche ad ulteriori informazioni relative ai rapportistrettamente necessarie ai fini dei controlli fiscali. Il provvedimento devealtresì prevedere adeguate misure di sicurezza, di natura tecnica eorganizzativa, per la trasmissione dei dati e per la relativa conservazione,che non può superare i termini massimi di decadenza previsti in materia diaccertamento delle imposte sui redditi".

Il citato art. 11 prevede, altresì, al comma 4, che i dati comunicati,oltre che per le finalità sopra citate per le quali viene già consultatol'archivio dei rapporti finanziari, potranno essere trattati dall'Agenzia delleentrate per l'elaborazione con procedure centralizzate, secondo i criteriindividuati con provvedimento del Direttore della medesima Agenzia, dispecifiche liste selettive di contribuenti a maggior rischio di evasione.

B. Il contenuto dello schema diprovvedimento

1. Dati oggetto della comunicazione 
Loschema di provvedimento in esame prevede che gli operatori finanziari inviinole seguenti informazioni in relazione alla tipologia di rapporti sopra citati,attivi nel corso dell'anno di riferimento:

a) i dati relativi ai saldi del rapporto, distinti in saldo inizialeal 1∞ gennaio e saldo finale al 31 dicembre, dell'anno cui è riferita lacomunicazione di riferimento;

b) per i rapporti accesi nel corso dell'anno il saldo iniziale alladata di apertura, per i rapporti chiusi nel corso dell'anno il saldo alla data di chiusura;

c i dati relativi agli importi totali degli accrediti e degliaddebiti delle operazioni attive e passive conteggiati su base annua.

Nello schema è stabilito che la comunicazione debba avvenireannualmente entro il 31 marzo dell'anno successivo a quello a cui sono riferitele informazioni, mentre per l'anno 2011 i dati devono essere trasmessi entro il31 ottobre 2012. Anche tali informazioni sono archiviate nell'appositasezione dell'anagrafe tributaria già denominata archivio dei rapportifinanziari.

Con riferimento ai tempi di conservazione, lo schema di provvedimentoprevede che siano quelli massimi previsti dal legislatore, ovvero quelli didecadenza in materia di accertamento delle imposte sui redditi.

La specificazione delle informazioni da inviare per ciascun rapporto èindicata nella tabella allegata allo schema di provvedimento, di seguito riportata.

2. Modalità di trasmissione 
Inrelazione alle modalità di trasmissione, lo schema prevede che venga utilizzatoil servizio telematico Entratel (già sottoposto all'attenzione del Garante inrelazione alle altre comunicazioni di dati all'anagrafe tributaria), secondo iltracciato record ivi allegato, ovvero altri canali telematici che verrannocomunque preventivamente comunicati al Garante; in base a quanto dichiaratodall'Agenzia, tale servizio è stato integrato con le misure previste dalprovvedimento del Garante del 18 settembre 2008.

Secondo l'Agenzia, la sicurezza nella trasmissione dei dati sarebbegarantita dal meccanismo di identificazione ed autorizzazione fondato su undispositivo CNS dell'utente e relativo PIN di sblocco o sul codiceidentificativo dell'utente abbinato ad una password. La riservatezza nellatrasmissione dei dati viene, invece, assicurata attraverso l'uso di chiaviasimmetriche che ne garantiscono la cifratura. Per la trasmissione telematicadelle comunicazioni, i soggetti sono tenuti ad utilizzare i prodotti softwaredi controllo distribuiti gratuitamente dall'Agenzia, al fine di verificare lacongruenza dei dati comunicati con quanto previsto dalle suddette specifichetecniche. In seguito all'invio il sistema fornisce una ricevuta, contenuta inun file, munito del codice di autenticazione per il servizio Entratel, in cui èindicato, in particolare, il numero delle comunicazioni contenute in ciascunatrasmissione.

3. Trattamento dei dati
Conriferimento al trattamento dei dati, lo schema di provvedimento stabilisce chei dati e le notizie che pervengono all'anagrafe tributaria siano raccolti eordinati su scala nazionale al fine della valutazione della capacitàcontributiva, nel rispetto dei diritti e delle libertà fondamentali deicontribuenti.

In particolare, viene previsto che i dati di cui alle sopra citatelett. a), d), e) e f) di cui ai precedenti punti A e B.1. siano trattatidall'Agenzia delle entrate unicamente per la formazione con procedurecentralizzate di specifiche liste selettive di contribuenti a maggior rischiodi evasione, secondo i criteri che verranno individuati con successivoprovvedimento del Direttore della medesima Agenzia. Le posizioni, cosìindividuate, saranno segnalate per l'avvio delle attività di controllo fiscale.

L'Agenzia ha precisato che i dati contenuti nella nuova comunicazioneintegrativa annuale non costituiranno oggetto diretto dell'attività diaccertamento. Nello schema viene, infatti, stabilito che le nuove informazioninon implementeranno i dati accessibili attraverso la procedura delle indaginifinanziarie illustrata al punto A.1.

Secondo quanto dichiarato dall'Agenzia, tali nuove informazioni, purarchiviate nell'archivio dei rapporti finanziari, non saranno visibili aisoggetti già abilitati a visualizzare i dati presenti in tale apposita sezionedell'anagrafe tributaria.

OSSERVA:

C. Osservazioni preliminari
Occorrepreliminarmente evidenziare che la normativa di cui lo schema di provvedimentoin esame è attuativo pone rilevanti problematiche di carattere generalerelative alla protezione dei dati personali sia con riferimento all'eccezionale concentrazione presso l'anagrafe tributaria di un'enorme quantità diinformazioni personali, sia in relazione alle finalità di classificazione degliinteressati cui la raccolta di tali informazioni risulta preordinata.

Come più volte ribadito da questa Autorità, da ultimo anchenell'audizione svolta dal Presidente giovedì 29 marzo 2012 presso laCommissione parlamentare di vigilanza sull'anagrafe tributaria, non è indiscussione l'esigenza di disporre di ogni necessaria idonea informazione perl'azione di verifica e contrasto dell'evasione fiscale, bensì l'integraleacquisizione e duplicazione presso l'anagrafe tributaria di una moltitudine didati che, laddove necessari a fini di accertamento, risultano già disponibiliall'amministrazione finanziaria attraverso la procedura delle indaginifinanziarie che consente la puntuale e dettagliata acquisizione di tutte leinformazioni finanziarie dei contribuenti.

Secondo le valutazioni effettuate dall'Agenzia, tali dati sarebberotutti necessari ai fini dell'elaborazione con procedure centralizzate, secondoi criteri da individuarsi con provvedimento del Direttore della medesimaAgenzia non ancora adottato, di specifiche liste selettive di contribuenti amaggior rischio di evasione.

Va rilevato, quindi, che la previsione di un'ingente concentrazione ditali categorie di dati presso un unico titolare genera un incrementoesponenziale dei rischi insiti nel trattamento di dati personali rispetto allaquantità di informazioni raccolte, anche laddove il trattamento avvenga nel piùrigoroso rispetto delle misure di sicurezza. Ciò, soprattutto, in relazioneall'interesse che il valore strategico di una simile banca dati può suscitaresia con riferimento ad accessi abusivi ed a utilizzi impropri, che allaproliferazione di interconnessioni e raffronti.

Pertanto, nell'occasione dell'espressione del presente parere, chedeve intervenire in ordine alle modalità di comunicazione dei dati, occorrevalutare con particolare rigore le misure di sicurezza, di natura tecnica eorganizzativa, per la trasmissione dei dati e per la relativa conservazioneindividuate nello schema di provvedimento (art. 11, comma 3).

Nell'ambito dell'istruttoria preliminare sullo schema in esame, sonostati svolti specifici accertamenti, anche di carattere ispettivo, al fine divalutare l'idoneità delle modalità di trasmissione scelte dall'Agenzia per lacomunicazione annuale integrativa dei dati contabili all'anagrafe dei rapporti,nel caso di specie il servizio telematico Entratel, già in uso per numerosecomunicazioni all'anagrafe tributaria, tra cui, in particolare, l'alimentazioneda parte degli operatori finanziari dell'archivio dei rapporti finanziari.

A tal fine l'Autorità ha esaminato, nella prospettiva dellacomunicazione annuale integrativa, le attuali misure predisposte per l'inviomensile delle comunicazioni all'archivio dei rapporti finanziari da parte deglioperatori attraverso il servizio telematico Entratel.

In tale contesto sono emerse numerose criticità riferibili sia aitrattamenti effettuati dagli operatori finanziari che all'utilizzo del serviziotelematico Entratel e risulta necessario evidenziare taluni profiliproblematici di seguito illustrati relativi alla sicurezza dei trattamenti.

D. La sicurezza
Sullabase degli accertamenti svolti dall'Ufficio, occorre evidenziare come lecriticità relative alla sicurezza complessiva del flusso di informazioni sianoin parte riconducibili a caratteristiche tecniche dello stesso servizioEntratel in relazione alla specifica finalità di alimentazione dell'archiviodei rapporti finanziari, e in parte conseguenti agli aspettitecnico-organizzativi dell'intera filiera di trattamento, che va dalla loroestrazione dai sistemi informativi dei soggetti tenuti all'adempimento, allaloro organizzazione nel formato richiesto dall'Agenzia per la relativatrasmissione verso l'anagrafe tributaria.

1. Il trattamento da parte degli operatorifinanziari

1.1. Criticità 
Sul versante degli operatorifinanziari, si rileva preliminarmente che lo schema di provvedimento richiedel'invio all'anagrafe tributaria di una mole di dati che per loro natura la granparte degli operatori finanziari solitamente tratta con diversi sistemiapplicativi. La raccolta e l'aggregazione in forma di file secondo quantorichiesto dal servizio Entratel comporta quindi già all'origine unaconcentrazione di informazioni e, di conseguenza, un potenziale di rischio chedifficilmente si riscontra nell'ordinario esercizio dell'attività finanziaria obancaria. Benché le informazioni di base siano tutte nella disponibilitàdell'operatore finanziario, solo questa specifica esigenza di conformitàall'adempimento previsto dallo schema in esame rende necessaria l'aggregazionepresso l'operatore medesimo, in un unico "oggetto informatico", dellavariegata tipologia di dati che risiederebbero altrimenti nelle diversecomponenti applicative del sistema informativo.

Se tali osservazioni possono essere riferite anche all'elaborazionedei file per la comunicazione mensile all'anagrafe dei rapporti, lacostituzione di tale nuovo "oggetto informatico" presso ciascunoperatore finanziario per assolvere all'obbligo di comunicazione annualerappresenta di per sé elemento idoneo ad incrementare notevolmente i rischi pergli interessati, in considerazione della quantità, qualità e delicatezza delleinformazioni contabili ivi contenute, imponendo di conseguenza agli operatorifinanziari particolari cautele al fine di prevenire accessi non autorizzati onon conformi rispetto alle finalità del trattamento (art. 31 del Codice).

In proposito, si rileva che l'Agenzia si è prevalentemente concentratasugli aspetti di sicurezza legati alla fase di comunicazione dei dati, senzacurare le misure e gli accorgimenti, anche di carattere organizzativo, a montedell'alimentazione della propria banca dati. D'altra parte, la diversificataplatea degli operatori finanziari e della rispettiva strutturazione dei sistemiinformativi non consente di dettare regole specifiche di dettagliosull'estrazione dei dati e la loro aggregazione, aspetti che sono riconducibilialla responsabilità dei singoli titolari.

Tuttavia, come sopra rilevato, si ritiene che negli aspettiorganizzativi del flusso si annidino le principali fonti di potenzialeinsicurezza complessiva del trattamento, tenuto conto della natura dei dati datrattare e della loro delicatezza anche connessa al volume aggregato diinformazioni in possesso di singoli operatori finanziari. Pertanto, le misuredi sicurezza, di natura tecnica e organizzativa, che l'Agenzia è chiamata adindividuare nello schema di provvedimento in esame devono riguardare anche iltrattamento posto in essere dagli operatori finanziari finalizzato allacomunicazione dei dati.

1.2. Integrazione dello schema di provvedimento 
Intale quadro, lo schema di provvedimento deve essere integrato in merito, tenutoconto delle seguenti indicazioni elaborate sulla base delle principaliproblematiche rilevate in atti in relazione alle procedure, già in essere, dicomunicazione mensile all'archivio dei rapporti finanziari attraverso ilservizio Entratel:

1) la prima fase che ciascun operatore finanziario deve eseguire aifini della comunicazione all'Agenzia consiste nella estrapolazione dei datirelativi ai rapporti finanziari in essere dai diversi archivi nei quali sononormalmente memorizzati per il soddisfacimento delle ordinarie esigenzeoperative dei singoli operatori finanziari. Il prodotto di tale attività ènormalmente costituito da un unico file, che può raggiungere dimensioniconsiderevoli (anche dell'ordine delle centinaia di megabyte), nel quale sonoriportate in formato testo "in chiaro" (alfanumerico non cifrato) leinformazioni relative alle variazioni intervenute nel periodo in esame rispettoa tutte le tipologie di rapporti finanziari censite nell'archivio in questione(cfr. tabella sopra indicata). Sarebbe opportuno che, anche in considerazionedelle dimensioni dell'operatore finanziario, già in tale fase fosse possibileutilizzare meccanismi di cifratura e di sicurezza, rispettivamente finalizzatia proteggere le informazioni contenute nel file durante i successivi passaggiall'interno dell'operatore finanziario e ad assicurare l'integrità delcontenuto e a prevenirne alterazioni (ad es., mediante meccanismi di hashing);

2) le eventuali trasmissioni interne all'operatore finanziariodovrebbero avvenire esclusivamente su protocolli sicuri (https/ssl, SFTP,ecc.);

3) nel caso in cui le comunicazioni all'archivio dei rapportifinanziari vengano effettuate con l'intervento di un utente, tali soggettidevono essere scelti dagli operatori finanziari sulla base di elevati requisitidi idoneità soggettiva, preferibilmente tra soggetti che abbiano un rapportostabile con essi;

4) l'accesso al file, nelle successive fasi del trattamento, dovrebbeessere circoscritto ad un numero il più possibile limitato di incaricati, iquali non dovrebbero poter effettuare alcun intervento di modifica delleinformazioni contenute nel file;

5) qualora la comunicazione all'Agenzia delle entrate avvenga mediantel'utilizzo di postazioni client, tali postazioni devono disporre di versioniaggiornate del sistema operativo, del browser, di programmi antivirus eanti-intrusione e degli altri software applicativi utilizzati sulla postazionemedesima, al fine di ridurre i rischi connessi ad accessi non consentiti oall'azione di virus o altri malware. Le postazioni abilitate all'invio dei datiattraverso il canale predisposto dall'Agenzia delle entrate dovrebbero esseredotate di misure di sicurezza aggiuntive per assicurare che sia i suddetti fileche le relative chiavi di cifratura non possano essere copiati su supportiesterni. In relazione alle dimensioni del singolo operatore finanziario,dovrebbe essere valutata la possibilità di riservare una postazione,opportunamente configurata e messa in sicurezza, dedicata all'invio ditali comunicazioni all'Agenzia delle entrate;

6) in seguito all'invio, l'eventuale conservazione del file dovrebbeessere effettuata da parte dell'operatore finanziario esclusivamente in formacifrata;

7) dalla documentazione in atti, è emerso che uno cospicuonumero di operatori si avvalgono della possibilità di effettuare lecomunicazioni mensili all'archivio dei rapporti finanziari mediante gliintermediari e che il medesimo intermediario può trasmettere le comunicazionirelative ad una pluralità di operatori, con la conseguenza che tali soggettiesterni (es. commercialisti, associazioni di professionisti, CAF, consulentifiscali, ecc.) possono ricevere in chiaro il file da trasmettere prima dellafirma e della cifratura, con ulteriori rischi di accessi non conformi, utilizziabusivi delle informazioni e alterazione dei dati. Pertanto, laddove glioperatori finanziari decidano di affidare la comunicazione a soggetti esterni,responsabili o incaricati del trattamento, il file dovrà essere loro fornito giàcifrato.

In ogni caso, tenuto conto che gli aspetti relativi alla sicurezza deitrattamenti effettuati presso gli operatori finanziari ai fini dellacomunicazione annuale all'archivio dei rapporti finanziari sono correlati allemodalità di trasmissione che in concreto verranno individuate dall'Agenziadelle entrate in base alle osservazioni contenute nel presente parere, ilGarante si riserva di effettuare eventuali approfondimenti al fine diindividuare ulteriori misure laddove risulti necessario incrementarne i livellidi sicurezza.

2. Il servizio telematico Entratel 
Ilservizio Entratel è il principale canale telematico predisposto dall'Agenziadelle entrate per assolvere per via telematica, direttamente o tramiteintermediari, agli obblighi relativi alla presentazione di dichiarazioni ecomunicazioni, non solo di carattere fiscale, e costituisce un vero e propriostrumento "multi-uso" per la realizzazione di flussi di alimentazionedelle banche dati dell'Agenzia.

La scelta di utilizzare un unico canale per la ricezione da partedell'Agenzia delle entrate di un'ampia e diversificata gamma di comunicazionise, da un lato, può rendere più semplice l'assolvimento degli adempimenti daparte dei destinatari, dall'altro non consente di modulare le cautele di voltain volta necessarie rispetto alla specifica tipologia di dati che formanooggetto di ciascuna categoria di comunicazione.

Conseguentemente, pur potendo lo strumento prescelto dall'Agenziarisultare astrattamente idoneo rispetto all'invio della gran parte delledichiarazioni e comunicazioni, è risultato necessario valutarne l'adeguatezzain concreto (anche in seguito alle modifiche apportate dall'Agenzia a tale serviziotelematico in ottemperanza al citato provvedimento del Garante del 18 settembre2008) rispetto a specifiche tipologie di comunicazioni, quali quelle relativeall'archivio dei rapporti, in ragione della qualità e della quantità delleinformazioni ivi contenute.

2.1. Criticità 
In tale quadro, dallerisultanze degli accertamenti effettuati, si osservano le seguenti criticità. Ilservizio Entratel non supporta l'invio di file di dimensioni superiori ai 3megabyte e quindi ogni singolo file da inviare tramite tale servizio deveessere precedentemente suddiviso in file aventi ognuno tale dimensione massimae, prima dell'invio, ciascuno deve essere singolarmente sottoposto alleprocedure di autenticazione e cifratura attraverso l'applicativo client Entratele le chiavi asimmetriche fornite dall'Agenzia. Come rilevato nel corso degliaccertamenti, già in relazione all'invio mensile delle variazioni all'archiviodei rapporti finanziari da parte di operatori di grandi dimensioni, talelimitazione non favorisce lo scambio di file di grandi dimensioni.

Rispetto a tale comunicazione mensile, i volumi di dati che glioperatori finanziari saranno tenuti a trasmettere annualmente all'archivio deirapporti finanziari con la comunicazione integrativa saranno decisamentemaggiori in quanto relativi non alle sole variazioni intervenute nell'arco ditrenta giorni, ma alla totalità dei rapporti attivi nell'anno precedente con leinformazioni contabili aggiuntive previste dallo schema di provvedimento.Inoltre, come si evince dal tracciato record fornito dall'Agenzia, lecomunicazioni annuali integrative dovranno includere obbligatoriamente anche isingoli riferimenti a tutte le trasmissioni già effettuate all'archivio per ilrapporto finanziario in oggetto, rendendo il trasferimento ancor più rilevantein termini di mole di dati.

Peraltro, durante le verifiche ispettive è stato accertato che in sededi prima costituzione dell'archivio dei rapporti finanziari, per forniture didati relative alla totalità dei rapporti in essere presso l'operatorefinanziario (analoghe a quelle in esame ma senza i dati contabili), per viadella enorme quantità di dati da trasmettere è stato ritenuto necessario intaluni casi utilizzare supporti ottici (DVD) per l'invio all'Agenzia, con iconseguenti rischi che ciò ha comportato.

Come sinteticamente sopra già illustrato, in ragione del meccanismo difunzionamento del servizio Entratel, il file da trasmettere rimane esposto, dalmomento dell'estrazione dei dati dai sistemi dell'operatore finanziario finoall'invio dei dati stessi all'anagrafe tributaria, a rischi di accessiillegittimi e di alterazione del contenuto della comunicazione.

Alla luce di ciò, si ritiene quindi che, per soggetti di medio-grandidimensioni obbligati alla trasmissione annuale di comunicazioni integrativeall'archivio dei rapporti finanziari, il servizio Entratel così comeattualmente configurato non risulti adeguato alla trasmissione dei dati per viadelle voluminose quantità di scambio previste, rispetto alle potenzialità e allelimitanti caratteristiche tecniche dello strumento per il caso specifico inesame.

Le rilevanti criticità sopra illustrate risultano già determinanti aifini della valutazione di inadeguatezza della scelta di utilizzare il servizioEntratel –nella sua attuale configurazione- ai fini della trasmissionedei dati di cui allo schema di provvedimento in esame da parte di soggetti dimedio-grandi dimensioni. Inoltre, tale servizio, pur rispettando le misureminime di cui all'allegato B al Codice, presenta ulteriori criticità cherendono necessaria l'introduzione di alcune misure e accorgimenti volti aincrementarne i livelli di sicurezza anche nel caso di invii effettuati dasoggetti di piccole dimensioni. In sintesi, le principali problematicheriscontrate sono riferibili:

- all'assenza di un sistema di autorizzazione interno all'applicativoweb che consenta di attribuire al singolo operatore la visibilità delle solefunzioni applicative necessarie per ciascuna categoria di invio;

- alla condivisione, tra gli utenti della medesima sede telematica,dell'ambiente di sicurezza (con la conseguente riproduzione delle chiaviasimmetriche -coppia di chiavi private di firma e cifratura- su vari supporti,ad es. floppy disk o USB);

- alla mancanza di applicazione delle misure di sicurezza perimetrale,volte all'identificazione delle postazioni da cui vengono effettuati gliaccessi, basandosi sul mutuo riconoscimento tra i server che erogano ilservizio e le postazioni che accedono a esso. L'accesso a Entratel, allo stato,può avvenire infatti anche da una rete generica senza che la postazione dilavoro sia stata precedentemente autenticata e non sono altresì presentiulteriori filtri (ad es. sull'indirizzamento IP) che impediscano tale accessoincondizionato. Ciò implica, anche in considerazione della condivisionedell'ambiente di sicurezza di cui al precedente punto, che risulta possibileutilizzare le chiavi private e effettuare invii all'Agenzia anche da postazioniremote esterne all'operatore finanziario;

- quanto descritto al punto precedente pone problemi anche inconsiderazione del fatto che, dopo aver effettuato l'accesso, le personefisiche possono disporre della funzionalità denominata "Scelta utenza dilavoro" con la quale possono decidere di operare sia per conto proprio(con i servizi dell'Agenzia rivolti ai privati cittadini) che per conto diterzi (ad es., per ragioni di servizio per conto del proprio datore di lavoro),accedendo, ad esempio da casa o da reti esterne al proprio ambito lavorativo,anche all'"utenza di lavoro" dell'ente senza dover nuovamentedigitare la password di accesso né prevedendo il superamento di ulteriorimeccanismi di autenticazione;

- ad alcuni aspetti relativi alla procedura di autorizzazione on lineda parte dei gestori incaricati, con riferimento alla funzione dell'applicativodenominata "Funzioni relative agli incaricati" per la definizione diulteriori gestori incaricati e/o operatori incaricati.

2.2. Misure e accorgimenti necessari 
Sullabase di quanto sopra evidenziato, occorre, pertanto, che:

1) l'Agenzia predisponga l'uso di canali di comunicazione diversi ealternativi a Entratel, soprattutto per le comunicazioni da parte di soggettidi medio-grandi dimensioni detentori di una elevata quantità di dati come igruppi bancari, privilegiando l'interconnessione application-to-application trai rispettivi sistemi informativi, con le opportune misure di sicurezza. Ciòconsentirebbe di automatizzare il più possibile il processo di raccolta deidati presso i soggetti esterni, rafforzando l'intera filiera di trattamentodelle informazioni che, altrimenti, risulterebbero accessibili a unamolteplicità di soggetti incaricati amplificando le possibilità di loroutilizzo illegittimo. Se ne gioverebbe inoltre la qualità dei dati trasmessi,su cui gravano al momento diversi passaggi manuali effettuati da operatori condifferenziati livelli di capacità tecnica;

2) nel caso in cui l'Agenzia, differentemente da quanto previsto alprecedente punto 1), ritenga di utilizzare il servizio telematico Entratel,ovvero altro canale telematico che l'Agenzia riterrà di predisporre per latrasmissione dei dati di cui al presente schema di provvedimento, devono essereintrodotti misure e accorgimenti volti ad assicurare che:

- l'operatore finanziario possa inviare il file, già cifratoall'origine, in un'unica soluzione;

- vengano individuate e autorizzate le singole e sole postazioniclient tramite cui viene effettuata la comunicazione, ricorrendo a misureorganizzative o tecniche, quale ad esempio, la certificazione digitale dellepostazioni client (riducendo al minimo la possibilità di trasferimento deicertificati, che andrebbero generati tenuto conto di diversi parametri connessistrettamente alla postazione remota) o altra misura equivalente;

- la sicurezza delle postazioni periferiche sia verificata con glistrumenti che la tecnologia mette a disposizione in fase di interazione web,rifiutando l'accesso all'applicativo alle postazioni non conformi ai requisitirichiesti. Oltre alle versioni del sistema operativo o del browser utilizzati,ricavabili dai dati trasmessi tramite protocollo http, potrebbero essererilevate con strumenti software integrativi altre qualità inerenti la sicurezzacome, ad esempio, lo stato di aggiornamento dei sistemi di protezioneantivirus, la presenza di protezioni contro i malware e altri parametri tecniciconnessi alla sicurezza. In tal modo l'Agenzia raggiungerebbe due obiettivicollaterali apprezzabili nell'ottica di innalzamento complessivo dellasicurezza: promuoverebbe da un lato l'utilizzo da parte dei soggettialimentatori delle proprie banche dati di strumenti software aggiornati e piùsicuri, con possibile effetto sulla qualità dei dati e ridurrebbe dall'altro irischi potenzialmente derivanti dalla compromissione delle postazioni terminalia opera di malware di vario genere, che potrebbe comportare violazioni dellasicurezza dei dati presso l'operatore finanziario o il soggetto che effettua lacomunicazione;

- per l'autenticazione siano utilizzati sistemi di autenticazioneinformatica basati su tecniche di strong authentication, consistenti nell'usocontestuale di almeno due differenti tecnologie di autenticazione per tutti gliutilizzatori del sistema. Consideri l'Agenzia, inoltre, anche forme differentidi strong authentication rispetto alla CNS Carta nazionale dei servizi cheassicurino un livello equivalente di sicurezza. Strumenti alternativi alla CNSsono opportuni qualora l'Agenzia riscontri effettive insormontabiliincompatibilità tra l'utilizzo della CNS quale strumento di strongauthentication con altre misure di sicurezza prescritte dal Garante, relativealla certificazione digitale delle postazioni client che interagiscono conl'applicativo Entratel;

- l'applicazione sia offerta all'accesso in rete quantomeno suindirizzi o porte diverse allo scopo di differenziare all'origine il bacino diutenza "privato" (persone fisiche) dall'utenza "aziendale":ciò perché l'identificazione dell'utente comporta, allo stato attuale delsistema Entratel, la necessità da parte dell'utente abilitato di dichiarare ilproprio ruolo, ovvero se operi nella qualità di dipendente di un soggettoesterno o in proprio quale persona fisica; sia assicurata, inoltre, laseparazione tra i profili di autorizzazione, consentendone una più completa eflessibile gestione. Valuti eventualmente l'Agenzia forme equivalenti direalizzazione della separazione degli ambiti che consentano l'applicazione didifferenziate misure di sicurezza e di controllo in base alla natura dei datitrasmessi e al ruolo rivestito dall'utente;

3) l'Agenzia, a prescindere dalla modalità di trasmissione presceltadi cui ai precedenti punti 1) e 2), deve assicurarsi che il procedimento dicifratura del file da trasmettere da parte dell'operatore finanziario possaavvenire già contestualmente alla estrazione dei dati dai sistemi, o,quantomeno, nella fase immediatamente successiva, preferibilmente conl'utilizzo di strumenti automatici che non prevedano l'intervento di unoperatore.

Per quanto riguarda, invece, l'adeguatezza del servizio Entratelrispetto alle altre comunicazioni all'anagrafe tributaria per le qualiattualmente è utilizzato, il Garante si riserva di esaminare le predettecriticità in separata sede, anche congiuntamente all'Agenzia delle entrate.

3. La conservazione dei dati pressol'anagrafe tributaria 
Come direttamente previsto dallegislatore (art. 11, comma 2, del decreto legge citato), lo schema diprovvedimento stabilisce che i dati oggetto della comunicazione annuale daparte degli operatori finanziari sono destinati ad essere archiviatinell'apposita sezione separata dell'anagrafe tributaria, denominata archiviodei rapporti finanziari.

Viene altresì previsto che tali dati contabili, trattati unicamenteper la formazione con procedure centralizzate di specifiche liste selettive dicontribuenti a maggior rischio di evasione, non implementeranno i datiaccessibili attraverso la procedura delle indagini finanziarie.

Tuttavia, il citato art. 11, comma 4, prevede che tali informazionipossano essere utilizzate anche per le ulteriori finalità di cui all'art. 7,comma 11, d.P.R. n. 605, per le quali allo stato è consentito accedereall'attuale versione dell'archivio dei rapporti finanziari.

Pertanto, laddove vengano previsti casi di trattamento dei datioggetto della comunicazione integrativa annuale ulteriori rispetto a quantoprevisto nello schema di provvedimento in esame, occorre sottoporre alla verificapreliminare del Garante tale circostanza ai fini dell'individuazione diprocedure e garanzie idonee a consentire il rispetto dei diritti e delle libertàfondamentali, nonché della dignità degli interessati (art. 17 del Codice).

Per quanto riguarda i tempi di conservazione, l'Agenzia ha scelto diavvalersi del termine massimo previsto dal legislatore, ovvero quello didecadenza in materia di accertamento delle imposte sui redditi, pur senza averdefinito i criteri di formazione delle liste ai sensi dell'art. 11, comma 4 delcitato decreto. Su tali aspetti si rileva, tuttavia, che la conservazione deidati deve essere commisurata al tempo necessario e predeterminato a raggiungerela finalità perseguita.

Pertanto, si ritiene che nello schema di provvedimento debbano essereesplicitati i periodi di conservazione necessari e che, in ogni caso, alloscadere di tale periodo deve essere disposta l'integrale e automaticacancellazione dei dati.

Con riferimento alle misure di sicurezza relative alla conservazionedei dati in anagrafe tributaria, resta ferma l'esigenza di esaminareorganicamente, in altra sede e in un più ampio contesto, l'ulterioreincremento di livelli di sicurezza da garantire rispetto a trattamenti di datiquali quelli effettuati presso l'archivio dei rapporti finanziari.

E) Ulteriori osservazioni
A margine del presente parere, riferito unicamente alle modalità dicomunicazione, nonché delle misure di sicurezza per la trasmissione e laconservazione dei dati, si evidenzia che lo schema di provvedimento in esameprevede la raccolta massiva dei dati contabili (saldi iniziali e finali delrapporto finanziario e dati aggregati delle movimentazioni con l'evidenza deldare e avere) relativi a tutta la platea di soggetti titolari di rapporti giàcensiti nell'archivio dei rapporti finanziari al fine di classificare l'interapopolazione in base al rispettivo rischio di evasione.

Alla luce di quanto stabilito nello schema, infatti, la raccolta ditali dati riferiti alla totalità dei contribuenti è finalizzata unicamenteall'elaborazione con procedure centralizzate delle liste selettive dicontribuenti a maggior rischio di evasione, secondo i criteri che dovrannoessere successivamente individuati con provvedimento del Direttore dell'Agenzia(art. 11, comma 4, del citato decreto legge). Le posizioni, così individuate,saranno segnalate per l'avvio delle attività di controllo fiscale.

Al riguardo, si sottolinea che l'individuazione di criteri astrattivolti ad analizzare il comportamento del contribuente, soprattutto laddoveeffettuati sulla base di numerose tipologie di dati presenti in anagrafetributaria, presenta rischi specifici per i diritti fondamentali e la libertà,nonché la dignità degli interessati, che richiedono la previsione di adeguategaranzie, fermo restando il divieto di adottare atti o provvedimentiamministrativi fondati unicamente su un trattamento automatizzato di datipersonali volto a definire il profilo o la personalità dell'interessato (artt.14 e 17 del Codice).

Nell'occasione dell'espressione del presente parere, pertanto,considerati i predetti rischi che comporta una siffatta attività diclassificazione del contribuente, si ritiene necessario che l'Agenziasottoponga a questa Autorità ai fini di una verifica preliminare il provvedimentodel Direttore dell'Agenzia delle entrate con il quale saranno definiti icriteri per l'elaborazione delle liste al fine di individuare eventuali misuree accorgimenti idonei a garantire l'applicazione dei principi in materia diprotezione dei dati personali (artt. 14 e 17 del Codice), fermo restandol'obbligo di notificazione al Garante ai sensi dell'art. 37, comma 1, lett. d),del Codice.

TUTTO CIO' PREMESSO ILGARANTE:

ai sensi dell'articolo 154, commi 4 e 5, del Codice, esprime il parererichiesto sullo schema di provvedimento del Direttore dell'Agenzia delleentrate concernente le "Disposizioni di attuazione dell'articolo 11, commi2 e 3, del decreto legge 6 dicembre 2011 n. 201, convertito, conmodificazioni, dalla legge 22 dicembre 2011 n. 214. Comunicazione integrativaannuale all'archivio dei rapporti finanziari" con le osservazioni relativeall'esigenza che:

1) lo schema di provvedimento deve essere integrato conl'individuazione di adeguate misure di sicurezza, di natura tecnica eorganizzativa, anche in relazione al trattamento posto in essere daglioperatori finanziari per la comunicazione annuale volte a garantire che,qualora la trasmissione non avvenga con interconnessioneapplication-to-application tra i rispettivi sistemi informativi:

a) anche in considerazione delle dimensioni dell'operatorefinanziario, vengano utilizzati meccanismi di cifratura e di sicurezza,rispettivamente finalizzati a proteggere le informazioni contenute nel filedurante i successivi passaggi all'interno dell'operatore stesso e ad assicurarel'integrità del contenuto e a prevenirne alterazioni;

b) le eventuali trasmissioni interne all'operatore finanziarioavvengano esclusivamente su protocolli sicuri (https/ssl, SFTP, ecc.);

c) nel caso in cui le comunicazioni all'archivio dei rapportifinanziari vengano effettuate con l'intervento di un utente, tali soggettidevono essere scelti dagli operatori finanziari sulla base di elevati requisitidi idoneità soggettiva, preferibilmente tra soggetti che abbiano un rapporto stabilecon essi;

d) l'accesso al file, nelle successive fasi del trattamento, siacircoscritto ad un numero il più possibile limitato di incaricati, nonabilitati alla modifica delle informazioni contenute nel file;

e) qualora la comunicazione all'Agenzia delle entrate avvenga mediantel'utilizzo di postazioni client, tali postazioni devono disporre di versionicostantemente aggiornate del sistema operativo, del browser, dei programmiantivirus e anti-intrusione e degli altri software applicativi utilizzati sullapostazione medesima, al fine di ridurre i rischi connessi ad accessi nonconsentiti o all'azione di virus o altri malware. In relazione alle dimensionidel singolo operatore finanziario, deve essere valutata la possibilità che lepostazioni abilitate all'invio dei dati attraverso il canale predispostodall'Agenzia delle entrate siano dotate di misure di sicurezza aggiuntive (perassicurare che sia i suddetti file che le relative chiavi di cifratura nonpossano essere copiati su supporti esterni), ovvero l'opportunità di riservareuna postazione, opportunamente configurata e messa in sicurezza, dedicataall'invio di tali comunicazioni all'Agenzia delle entrate;

f) in seguito all'invio, l'eventuale conservazione del file da partedell'operatore finanziario deve avvenire esclusivamente in forma cifrata;

g) i soggetti incaricati del trattamento relativo alle comunicazioniall'archivio dei rapporti finanziari siano scelti dagli operatori finanziarisulla base di elevati requisiti di idoneità soggettiva, preferibilmente trasoggetti che abbiano un rapporto stabile con essi. Qualora gli operatorifinanziari decidano di affidare la comunicazione a soggetti esterni,responsabili o incaricati del trattamento, il file dovrà essere loro fornito giàcifrato;

2) l'Agenzia predisponga l'uso di canali di comunicazionediversi e alternativi al servizio Entratel, soprattutto per le comunicazioni daparte di soggetti detentori di una elevata quantità di dati come i gruppibancari, privilegiando l'interconnessione application-to-application tra irispettivi sistemi informativi, con le opportune misure di sicurezza. Ciòconsentirebbe di automatizzare il più possibile il processo di raccolta deidati presso i soggetti esterni, rafforzando l'intera filiera di trattamentodelle informazioni che, altrimenti, risulterebbero accessibili a unamolteplicità di soggetti incaricati amplificando le possibilità di loroutilizzo illegittimo. Se ne gioverebbe inoltre la qualità dei dati trasmessi,su cui gravano al momento diversi passaggi manuali effettuati da operatori condifferenziati livelli di capacità tecnica;

3) nel caso in cui l'Agenzia, differentemente da quanto previstoal precedente punto 2), ritenga di utilizzare il servizio telematico Entratel,ovvero altro canale telematico che l'Agenzia riterrà di predisporre per latrasmissione dei dati di cui al presente schema di provvedimento, devono essereintrodotti misure e accorgimenti volti ad assicurare che:

a) l'operatore finanziario possa inviare il file, già cifratoall'origine, in un'unica soluzione;

b) venga effettuata la certificazione digitale delle postazioniclient o altra misura equivalente;

c) la sicurezza delle postazioni periferiche sia verificata con glistrumenti che la tecnologia mette a disposizione in fase di interazione web,rifiutando l'accesso all'applicativo alle postazioni non conformi ai requisitirichiesti, che dovranno tenere conto della versione del sistema operativo e delbrowser utilizzati; valuti l'Agenzia anche l'utilizzo di strumenti softwareintegrativi idonei a rilevare altre qualità inerenti la sicurezza come, adesempio, lo stato di aggiornamento dei sistemi di protezione antivirus, lapresenza di protezione contro il malware e altri parametri tecnici;

d) per l'autenticazione siano utilizzati sistemi diautenticazione informatica basati su tecniche di strong authentication,consistenti nell'uso contestuale di almeno due differenti tecnologie diautenticazione per tutti gli utilizzatori del sistema. Consideri l'Agenzia,inoltre, anche forme differenti di strong authentication rispetto alla CNSCarta nazionale dei servizi che assicurino un livello equivalente di sicurezza.Strumenti alternativi alla CNS sono opportuni qualora l'Agenzia riscontrieffettive insormontabili incompatibilità tra l'utilizzo della CNS qualestrumento di strong authentication con altre misure di sicurezza prescritte dalGarante, relative alla certificazione digitale delle postazioni client cheinteragiscono con l'applicativo Entratel;

e) sia assicurata la separazione tra i profili di autorizzazione,consentendone una più completa e flessibile gestione, anche offrendo l'accessoin rete all'applicazione quantomeno su indirizzi o porte diverse da quelliutilizzabili in qualità di privato cittadino. Valuti eventualmente l'Agenziaforme equivalenti di realizzazione della separazione degli ambiti checonsentano l'applicazione di differenziate misure di sicurezza e di controlloin base alla natura dei dati trasmessi e al ruolo rivestito dall'utente;

4) l'Agenzia, a prescindere dalla modalità di trasmissioneprescelta di cui ai precedenti punti 2) e 3), deve assicurarsi che ilprocedimento di cifratura del file da trasmettere da parte dell'operatorefinanziario possa avvenire già contestualmente alla estrazione dei dati dai sistemi,o, quantomeno, nella fase immediatamente successiva, preferibilmente conl'utilizzo di strumenti automatici che non prevedano l'intervento di unoperatore;

5) laddove vengano previsti casi di trattamento dei dati oggettodella comunicazione integrativa annuale ulteriori rispetto a quanto previstonello schema di provvedimento in esame, l'Agenzia sottoponga alla verificapreliminare del Garante tale circostanza ai fini dell'individuazione diprocedure e garanzie idonee a consentire il rispetto dei diritti e delle libertàfondamentali, nonché della dignità degli interessati (art. 17 del Codice);

6) nello schema di provvedimento siano esplicitati i periodi diconservazione necessari e che, in ogni caso, allo scadere di tale periodo deveessere disposta l'integrale e automatica cancellazione dei dati.

Per le ragioni illustrate nelle osservazioni (punto E), si richiamal'attenzione in ordine alla circostanza che venga sottoposto a questa Autorità,ai fini di una verifica preliminare, il provvedimento del Direttoredell'Agenzia delle entrate con il quale saranno definiti i criteri perl'elaborazione delle liste al fine di individuare adeguate garanzie a tuteladegli interessati (artt. 14 e 17 del Codice).

Roma, 17 aprile 2012

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale
De Paoli