Anagrafe tributaria: i nostri dati fiscali a rischio?

L’Anagrafe tributaria, istituita nel 1973, è la banca dati utilizzata per la raccolta e l’elaborazione dei dati relativi alla fiscalità dei contribuenti.  Sono connessi all’Anagrafe enti esterni e soggetti privati per un totale di circa 1 milione di utenze potenziali. Ma l’anagrafe tributaria presenta anche venti rilevanti criticità nelle misure di sicurezza e nella qualità dei dati, riscontrate dall’Autorità Garante per la protezione dei dati personali (Privacy), che le ha segnalate in una lettera sia al direttore dell’Agenzia delle Entrate, Rossella Orlandi, sia al ministro dell’Economia, Pier Carlo Padoan, invitando a «intraprendere nell’immediato ogni sforzo utile a ridurre significativamente i rischi di accessi abusivi, coerentemente a quanto prescritto nel tempo dall’Autorità». Una lettera alla quale l’Agenzia ha risposto tornando a promettere al Garante di porre presto rimedio alla situazione.

Anagrafe tributaria: i nostri dati fiscali a rischio?

Della storia parla oggi Luigi Ferrarella sul Corriere della Sera. Una delle problematiche riguarda il servizio Fisconline, giudicato vulnerabile a causa del sistema di comunicazione del secondo PIN:

Uno di questi rischi riguarda il servizio «Fisconline», nel quale il contribuente può entrare con user name, password, e un Pin di cui riceve online la prima parte, per poi ricevere al proprio domicilio fiscale la seconda parte del Pin e la password in una busta trasmessa dall’Agenzia. Ma le ispezioni del Garante nell’autunno del 2015 hanno rilevato che, se per accedere al «cassetto fiscale» e inviare la dichiarazione dei redditi precompilata è necessaria l’intera procedura di sicurezza rafforzata, il contenuto della sola seconda busta invece già permette, a chiunque ne entri in possesso, di consultare tutti i dati personali sensibili di quel contribuente (a cominciare da quelli sulla salute) contenuti nella dichiarazione.
Poi ci sono le «vulnerabilità» legate all’assenza o inefficacia di sistemi in grado di segnalare accessi potenzialmente anomali («alert») sulla base dello scostamento statistico o comportamentale da parametri standard. Come sempre in questi casi, occorre trovare un equilibrio tra sicurezza e efficienza della banca dati utilizzata anche da decine di migliaia enti locali e professionisti, altrimenti troppi allarmi equivalgono a nessun allarme e i servizi al cittadino si trasformano in disservizi

Nel settembre scorso è stato pubblicato in Gazzetta Ufficiale il decreto del ministero dell’Economia che indica le linee guida del «nuovo» redditometro, «applicabile agli accertamenti dei redditi per gli anni di imposta a decorrere dal 2011». Oltre 100 le voci di spesa sotto osservazione, che rispecchiano quelle della precedente versione, divise in consumi e investimenti. La prima comprende gli alimentari, l’abitazione (mutuo, affitto, condominio e anche i compensi all’agente immobiliare), i combustibili, i mobili, la sanità e i trasporti, con un dettaglio che scende fino al costo al metro per le riparazioni dei natanti a motore o a vela. Ma anche l’istruzione, il tempo libero e gli animali: ad esempio, per il mantenimento di un cavallo la spesa media prevista è di 5 euro al giorno, ma se si tiene in maneggio, si arriva a 10 euro: 3.650 euro l’anno. Nella voce investimenti rientrano gli immobili e i beni mobili registrati, cui vanno detratti l’ammontare del mutuo o del finanziamento, ma anche le polizze assicurative, l’acquisto di azioni, obbligazioni e quote di fondi comuni. La nuova versione accoglie i rilievi del Garante della privacy e cancella il criterio delle «spese medie dell’Istat», che non concorreranno quindi né alla selezione dei contribuenti né potranno venire utilizzate in sede di contraddittorio.

Niente alert, siamo italiani

E non finisce qui: sempre secondo il Corriere non ci sono «alert» sugli accessi compiuti dai dipendenti dell’Agenzia, mancano persino nel caso di accessi effettuati da utenti che usino «in contemporanea le medesime credenziali», e sono assenti pure «per gli ingressi effettuati dal Centro elaborazione dati delle forze dell’ordine e dagli altri enti con accessi speciali». È capitato addirittura che dalle utenze di alcuni Comuni risultassero «oltre 4.000 accessi a più di 1.000 codici fiscali differenti senza che si innescasse il previsto blocco dell’utenza». Per quanto riguarda ad esempio il 730 precompilato, per ricevere il PIN è necessario abilitarsi a Fisconline. Lo si può fare online, tramite il sito dell’Agenzia delle Entrate (www.agenziaentrate.gov.it), oppure telefonando allo 848.800.444 da telefono fisso o 06.96668907 dal telefono cellulare, oltre che di persona o per delega in qualunque ufficio dell’Agenzia delle Entrate. Come ricevere il PIN? Quando la richiesta viene fatta di persona si rilascia la prima parte del PIN e la password per il primo accesso (la prima parte consta di 4 cifre); la seconda parte, che comprende le altre 6 cifre, viene fornita dal sito dell’agenzia. Se invece si richiede on line, viene fornita la prima parte mentre la seconda viene inviata per posta entro 15 giorni dall’AdE. Ci si può abilitare anche usando la Carta Nazionale dei Servizi, che prevede la fornitura del PIN completo.