Il decreto del MEF 28 giugno 2022, disciplina le regole di funzionamento del nuovo software antievasione a disposizione dell'Agenzia delle entrate e della Guardia di finanza.
L'obiettivo dichiarato è il perseguimento delle finalità di prevenzione e contrasto all'evasione e all'elusione fiscale, tramite l'individuazione dei criteri di rischio utili, da un lato, a far emergere posizioni da sottoporre a controllo e, dall'altro, per incentivare l'adempimento spontaneo. Il decreto, rispetto a queste finalità, attesta l'utilizzo dei dati personali comuni, contenuti nelle banche dati, relativi all'identità anagrafica ed alla capacità economica, tra cui i dati riguardanti le dichiarazioni fiscali, il patrimonio mobiliare e immobiliare, i dati contabili e finanziari, i dati dei pagamenti, dei versamenti e delle compensazioni, nonché i dati di profilazione relativi agli eventuali indicatori di rischio desunti o derivati attribuiti ai soggetti.
Il provvedimento, peraltro, si colloca nel solco tracciato dall'art. 1, co. 682, della L. 160/2019, ovvero la Legge di Bilancio 2020, in base al quale, per le attività di analisi del rischio, “l'Agenzia delle entrate, anche previa pseudonimizzazione dei dati personali, si avvale delle tecnologie, delle elaborazioni e delle interconnessioni con le altre banche dati di cui dispone, allo scopo di individuare criteri di rischio utili per far emergere posizioni da sottoporre a controllo e incentivare l'adempimento spontaneo”.
L'algoritmo Vera
Tutto è pronto, quindi, per rendere operativo l'algoritmo Vera, acronimo di Verifica dei rapporti finanziari, inclusa la delimitazione del perimetro del trattamento dei dati personali, dell'esercizio del diritto di accesso per tutti i contribuenti (siano essi destinatari o meno di attività di controllo o di compliance). Il decreto in parola prevede, inoltre, che l'Agenzia e la GdF dovranno adottare tutte le misure necessarie per escludere i dati personali inesatti o non aggiornati dai trattamenti conseguenti all'analisi del rischio fiscale e che, in aggiunta, sarà necessario interconnettere le informazioni contenute nell'Archivio dei rapporti finanziari con le altre banche dati a loro disposizione avvalendosi di opportune tecnologie informatiche e applicando le metodologie più appropriate.
In particolare, al fine di rafforzare le garanzie connesse al trattamento dei dati personali, le elaborazioni, mirate a far emergere le posizioni da sottoporre a controllo, dovranno essere effettuate su dati preventivamente pseudonimizzati, attraverso metodi di sostituzione o modifica delle informazioni anagrafiche ovvero tramite perturbazioni delle variabili, al fine di impedire, in presenza di dati finanziari, l'identificazione diretta degli interessati. L'affidabilità e l'accuratezza del modello di analisi e dei criteri di rischio utilizzati sono testati per fare in modo che all'esito delle analisi siano limitati i rischi di ingerenze nei confronti dei contribuenti che non presentano un rischio fiscale significativo e, comunque, siano limitati i rischi di erronea rappresentazione della capacità contributiva. Negli atti e nei provvedimenti indirizzati ai contribuenti dovranno essere sempre illustrati il rischio fiscale identificato e i dati che sono stati utilizzati per la sua individuazione.
Questo nuovo strumento algoritmico pone il nostro Paese ancor più all'avanguardia nell'Unione europea nell'ambito delle iniziative riguardanti l'utilizzo dell'intelligenza artificiale in materia fiscale, ovvero per il contrasto all'evasione fiscale e per la tax compliance. Del resto, il rapporto Automating Society Report, curato dall'organizzazione Algorithm Watch, documentando le numerose iniziative unionali in questo campo, già prima dell'avvento di Vera, ha collocato l'Italia al vertice della classifica per aver adottato nel 2019 gli indici di affidabilità fiscale (ISA), con l'obiettivo di incentivare l'assolvimento degli oneri tributari dei cittadini e di indirizzare l'attività di controllo dell'Amministrazione finanziaria: senza trascurare che le liquidazioni delle dichiarazioni tributarie costituiscono una delle più risalenti forme di impiego dell'intelligenza artificiale nel diritto tributario nostrano. Non va dimenticato, vieppiù, che la società Soluzioni per il Sistema Economico (Sose) - società partecipata dal Ministero dell'Economia e delle Finanze e dalla Banca d'Italia - vale a dire il soggetto che ha elaborato il programma per il calcolo degli ISA e ne detiene il copyright, si è opposta alla sua “esibizione”, rendendo difficile la verifica delle tante incongruenze riscontrate sino ad oggi. Una questione, quella della conoscibilità dell'algoritmi da parte dei contribuenti, sulla quale si tornerà a breve.
Requisiti richiesti
L'art. 22, paragrafo 1, del GDPR prevede il diritto delle persone a non essere sottoposte a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici o che incida in modo analogo significativamente sull'individuo.
Pertanto, partendo dal presupposto che non tutti gli algoritmi sono uguali, nonché, soprattutto, che diversa può essere la metodologia di utilizzo dell'output fornito dagli stessi, l'algoritmo Vera dovrà rispondere positivamente (almeno) ai due temi appena accennati, vale a dire la conoscibilità e la non automaticità (human in the loop) dell'artefatto tecnologico, cui si aggiunge l'ulteriore principio di non discriminazione algoritmica. Su questi temi, si badi, è intervenuta (da tempo) sia la dottrina che la giurisprudenza.
In particolare, il Consiglio di Stato, con due storiche sentenze del 2019 (nn. 2270 e 8472), ha plasticamente chiarito alcuni principi cardine nell'ambito di operazioni algoritmiche utilizzate nei procedimenti amministrativi. La Corte, pur riconoscendo che gli algoritmi possono essere portatori di risultati in termini di efficienza e neutralità dell'operato della Pubblica amministrazione, non cela la necessità di una lettura critica del fenomeno, posto che l'impiego di tali strumenti comporta in realtà una serie di scelte e di assunzioni tutt'altro che neutre: “l'adozione di modelli predittivi e di criteri in base ai quali i dati sono raccolti, selezionati, sistematizzati, ordinati e messi insieme, la loro interpretazione e la conseguente formulazione di giudizi sono tutte operazioni frutto di precise scelte e di valori, consapevoli o inconsapevoli”. Ne consegue, sempre secondo i giudici amministrativi, che tali strumenti sono chiamati ad operare una serie di scelte, le quali dipendono in gran parte dai criteri e dai dati di riferimento utilizzati, “in merito ai quali è apparso spesso difficile ottenere la necessaria trasparenza”.
In tale contesto, precisa un passaggio della citata sentenza n. 8472/2019, assumono rilievo fondamentale, anche alla luce della disciplina di origine sovranazionale, due aspetti preminenti, quali elementi di minima garanzia per ogni ipotesi di utilizzo di algoritmi in sede decisoria pubblica:
la piena conoscibilità a monte del modulo utilizzato e dei criteri applicati;
l'imputabilità della decisione all'organo titolare del potere, il quale deve poter svolgere la necessaria verifica di logicità e legittimità della scelta e degli esiti affidati all'algoritmo.
Con grandissima lucidità e competenza, la Corte chiarisce che il meccanismo attraverso il quale si concretizza la decisione robotizzata (ovvero l'algoritmo) deve essere “conoscibile”, secondo una declinazione rafforzata del principio di trasparenza, che implica anche quello della piena conoscibilità di una regola espressa in un linguaggio differente da quello giuridico. Tale conoscibilità dell'algoritmo deve essere garantita in tutti gli aspetti: dagli autori al procedimento usato per l'elaborazione, al meccanismo di decisione, comprensivo delle priorità assegnate nella procedura valutativa e decisionale, nonché dei dati selezionati come rilevanti. Ciò al fine di poter verificare che i criteri, i presupposti e gli esiti del procedimento robotizzato siano conformi alle prescrizioni e alle finalità stabilite dalla legge o dalla stessa amministrazione a monte di tale procedimento. In proposito, occorre ribadire che la “caratterizzazione multidisciplinare” dell'algoritmo - un artefatto tecnologico che non richiede solo competenze giuridiche, ma tecniche, informatiche, statistiche, amministrative - non esime dalla necessità che la “formula tecnica”, che di fatto rappresenta l'algoritmo, sia corredata da spiegazioni che la traducano nella “regola giuridica” ad essa sottesa e che la rendano leggibile e comprensibile.
Ciò posto, in tema di non automaticità, è lo stesso Decreto del MEF che dichiara l'intenzione di garantire sempre l'intervento umano, attraverso personale specificatamente autorizzato dal Titolare o dal Responsabile, che verificherà, preliminarmente, l'inserimento dei dati nelle liste di controllo (c.d. dataset), per le finalità di verifica della corretta applicazione della metodologia e del modello di analisi adottati, e, successivamente, l'accuratezza e la proficuità dei risultati degli incroci effettuati in attuazione del modello di analisi e del criterio di rischio fiscale utilizzati. Per “personale specificatamente autorizzato”, considerando anche le competenze tecnologiche che lo stesso dovrà avere per effettuare i controlli appena richiamati, non si ritiene che il riferimento corra ai verificatori dell'Agenzia delle entrate o della Gdf. Resta, pertanto, il dubbio che si potrà arrivare all'emissione di atti senza che le anomalie riscontrate abbiano ricevuto un effettivo e preventivo riscontro da parte degli organi accertatori.
In tema di non discriminazione algoritmica, ovvero la necessita di rettificare i fattori che comportano inesattezze dei dati e la discriminazione, a titolo non esaustivo, in base all'origine etnica, alle opinioni politiche, alla religione professata, allo stato di salute o agli orientamenti sessuali, il decreto del MEF fa riferimento a misure necessarie per escludere i dati personali inesatti o non aggiornati: dovrebbe essere questo il presupposto per evitare la discriminazione in parola.
Resta il tema della conoscibilità. Riuscirà l'algoritmo Vera ad essere aderente rispetto ai chiari dettami del Consiglio di Stato? Sullo sfondo di questa risposta, che solo il tempo saprà fornire, le parole (ancora una volta) del prof. Paolo Benanti (frate francescano e docente di Teologia morale e bioetica presso la Pontificia Università Gregoriana), che, in una recente intervista, ha avuto modo di evidenziare che il codice degli algoritmi non è conoscibile “perché è protetto da copyright, ma anche se fosse open source nel momento in cui viene compilato da una macchina il compilatore può iniettare qualsiasi cosa nel codice e renderlo non più conoscibile”.