Agenzia delle Entrate, al via i controlli fiscali supportati da IA

La lotta all’evasione fiscale non conosce sosta. E si fa sempre più tecnologica. Il 2022 ha segnato il dato più alto di sempre con 20,2 miliardi di euro recuperati grazie all’attività complessiva dell’Agenzia delle Entrate e di Agenzia delle Entrate-Riscossione. Il 2023 sancisce, invece, l’ingresso ufficiale dell’intelligenza artificiale nelle analisi del rischio di evasione basate sui dati dell’Archivio dei rapporti finanziari.

Per velocizzare l’attività di selezione dei contribuenti da sottoporre a verifiche fiscali, infatti, l’Agenzia delle Entrate ha iniziato ad avvalersi di VeRa, (acronimo di Verifica dei Rapporti finanziari), strumento di data analysis basato su algoritmi di intelligenza artificiale che andrà a individuare coloro che presentano un certo livello di rischio fiscale di evasione. Nella lente di ingrandimento dell’Agenzia delle Entrate non rientrano però solo le violazioni fiscali, ma anche i molti contributi a sostegno dell’economia elargiti a causa dell’emergenza Covid-19, nonché le agevolazioni concesse sotto forma di crediti d’imposta (ad esempio, i bonus edilizi) e ai crediti d’imposta per ricerca e sviluppo.

Come funziona VeRa

In grado di incrociare e confrontare i dati dei contribuenti per individuare eventuali irregolarità, il processo attraverso il quale VeRa identifica le posizioni da controllare si articola in più fasi.

Innanzitutto, il sistema esegue una prima selezione di imprese individuali che operano in un determinato settore merceologico del commercio al dettaglio, estrapolate sulla base di una serie di caratteristiche introdotte nella funzione di analisi che mette in relazione informazioni fiscali, patrimoniali e finanziarie per verificarne la coerenza.

Ciò fatto, alla lista di imprese individuali che sono state identificate vengono poi abbinate le informazioni presenti nell’Archivio dei rapporti finanziari. A questo punto il software, basandosi sull’ammontare complessivo dei movimenti in entrata sui conti correnti e gli altri rapporti intrattenuti nell’anno di riferimento, andrà a isolare le imprese in cui si registra un ammontare di versamenti annui superiore di almeno il 150% dei ricavi dichiarati e non inferiore a 300.000 euro. Durante questo passaggio, l’algoritmo esegue altresì un’analisi probabilistica attraverso tecniche statistiche, così da selezionare i profili rischiosi da un punto di vista fiscale.

La fase successiva concerne la scrematura delle posizioni giustificabili, ovvero il sistema individua tutte quelle informazioni relative ad atti effettuati dal contribuente che vanno a giustificare gli incrementi patrimoniali che erano risultati anomali (ad esempio, una eredità ricevuta). Queste situazioni verranno quindi escluse dall’eventuale controllo.

Si procede, quindi, alla redazione di una lista di nominativi che viene inviata alle direzioni provinciali, le quali potranno effettuare ulteriori analisi di rischio aggiungendo, alle informazioni ricevute dall’Agenzia, tutti gli elementi informativi che hanno a disposizione. Saranno dunque le direzioni provinciali a programmare l’eventuale inserimento nei piani annuali di lavorazione, poiché il sistema non contempla l’emanazione automatica di provvedimenti impositivi nei confronti dei contribuenti selezionati mediante intelligenza artificiale.

Infine, si giunge all’attività ispettiva. L’Agenzia delle Entrate chiarisce però che l’inserimento di un contribuente in una lista selettiva, ottenuta sulla base dei processi informatizzati appena descritti, non comporta necessariamente l’avvio di un controllo fiscale. Infatti, l’Agenzia può sempre valutare se inviare a questi contribuenti delle lettere di compliance, con l’invito a rimuovere le anomalie segnalate, oppure scegliere di avviare concretamente delle attività di verifica, sulla base dei poteri vigenti, circa il versamento di imposte Iva e di imposte sui redditi.

Attenzione al trattamento dei dati

Naturalmente, l’impiego di algoritmi sviluppati su intelligenza artificiale che coinvolgano dati personali è stato oggetto di attenzione da parte del Garante Privacy. L’Agenzia delle Entrate ha perciò iniziato la predisposizione di un documento di valutazione di impatto sulla protezione dei dati personali che è stato analizzato dall’Autorità Garante, attraverso il provvedimento n. 276 del 30 luglio 2022, nel quale vengono anche stabilite le condizioni che l’Agenzia sarà chiamata a rispettare per evitare i rischi di un utilizzo improprio dei dati dei cittadini contribuenti, con la conseguente violazione dei loro diritti.

Tra le disposizioni volte a massimizzare la trasparenza del trattamento dei dati vi è anche l’obbligo di pubblicare sul sito istituzionale dell’Agenzia uno stralcio del documento di valutazione di impatto sulla protezione dei dati personali (Data Protection Impact Assessment), un documento descrittivo della logica di funzionamento degli algoritmi utilizzati nello svolgimento delle attività di analisi del rischio e l’informativa sul trattamento dei dati personali.

Quanto al procedimento in sé, il Garante della Privacy ingiunge all’Agenzia delle Entrate di: 

- verificare e documentare, nella fase di “test su un campione casuale rappresentativo della popolazione”, le scelte effettuate relative all’individuazione delle banche dati utilizzate per la creazione del dataset di analisi e dei modelli di analisi impiegati, dimostrando di aver individuato e gestito in modo adeguato i rischi per i diritti e le libertà degli interessati;

- raccogliere le opinioni dei soggetti coinvolti a vario titolo nei trattamenti in esame;

- pubblicare un estratto della valutazione di impatto sulla protezione dei dati, omettendo gli allegati e le parti che possono compromettere la sicurezza dei trattamenti;

- formare adeguatamente il personale coinvolto a vario titolo nei trattamenti in esame;

- adottare processi di verifica della qualità dei modelli di analisi impiegati, documentando a dovere, in rapporti periodici, le metriche utilizzate, le attività svolte, le eventuali criticità riscontrate e le misure di conseguenza adottate;

- adottare efficaci tecniche di pseudonimizzazione dei dati nell’ambito dei trattamenti in esame;

- adottare misure per assicurare il rispetto della condizione di cui al punto 2) del provvedimento n. 454 del 22 dicembre 2021.

Nello specifico, il suddetto punto recita che “fatte salve le attività di controllo svolte in relazione a richieste di detrazione/deduzione delle spese sostenute, i controlli fiscali nei confronti del consumatore finale fondati sulle informazioni presenti nei file XML delle fatture elettroniche siano avviati esclusivamente in conseguenza di puntuali verifiche fiscali - poste in essere preliminarmente nei confronti di operatori economici nell’ambito del contrasto all’evasione dell’IVA - i cui beni ceduti o servizi prestati, oggetto della fattura elettronica, siano stati acquistati dalla predetta persona fisica e, contestualmente, gli elementi così rilevati dalla stessa fattura siano tali da far emergere un rischio di evasione fiscale; al di fuori di tale ipotesi i dati contenuti nei file XML delle fatture elettroniche non possono essere utilizzati nei confronti dei consumatori finali”.