Intelligenza artificiale, fisco e privacy

La Legge delega fiscale approvata dal Consiglio dei Ministri a marzo di quest’anno detta, tra le altre cose, i principi e i criteri direttivi generali che il Governo è chiamato ad osservare nell’esercizio della stessa delega.

In particolare, si individua, nel novero di tali principi e criteri direttivi di carattere generale, anche la prevenzione e la riduzione dell’evasione e dell’elusione fiscale, da conseguire attraverso la piena utilizzazione dei dati che affluiscono al sistema informativo dell’anagrafe tributaria, il potenziamento dell’analisi del rischio, il ricorso alle tecnologie digitali e alle soluzioni di intelligenza artificiale, nel rispetto della normativa in tema di protezione dei dati personali, il pieno utilizzo dei dati provenienti dalla fatturazione elettronica e dalla trasmissione telematica dei corrispettivi, nonché la piena realizzazione dell’interoperabilità delle banche di dati, nel rispetto della normativa eurounitaria posta a salvaguardia dei dati personali.

Intelligenza artificiale, utilizzo dei dati fiscali e contrasto all’evasione

Il tema è dunque quello dell’utilizzo dei dati fiscali ai fini del contrasto all’evasione fiscale, in particolare, relativamente alla memorizzazione dei c.d. “dati fattura integrati”, che, in aggiunta alle informazioni già memorizzate nell’ambito dei c.d. “dati fattura”, contengono ulteriori dati utili ai fini fiscali, ivi compresi quelli relativi a natura, qualità e quantità dei beni e dei servizi oggetto dell’operazione.

In relazione a tali dati il Garante privacy ha sempre affermato che la memorizzazione di dati contenenti la descrizione delle prestazioni fornite sarebbe sproporzionata e questo perché le fatture “di regola”, contengono dati, anche molto di dettaglio, volti ad individuare i beni e i servizi ceduti, con la descrizione delle prestazioni, i rapporti fra cedente e cessionario e altri soggetti, riferiti, tra le altre, anche a sconti.

Tale affermazione deve però conciliarsi con le regole basilari di controllo in funzione di contrasto all’evasione fiscale, laddove è chiaro che un controllo che non possa accedere ai dati necessari per l’individuazione dei beni e servizi ceduti e alla descrizione delle prestazioni e rapporti fra cedenti e cessionario non avrebbe alcun senso, né alcuna efficacia.

Basti infatti pensare:

• al controllo sulla inerenza delle spese (laddove è necessario appurare i beni e i servizi ceduti e il tipo di prestazione);
• al transfer pricing o alle operazioni elusive e di abuso del diritto (laddove è necessario appurare i rapporti tra cedente e cessionario);
• al controllo sugli sconti, fondamentale per rilevare l’antieconomicità delle operazioni, dietro le quali si nascondono spesso gravissime frodi (in primis le frodi carosello);
• al contrasto a fenomeni frodatori, laddove disporre del dato relativo alla quantità, qualità e descrizione dell’operazione consente lo sviluppo di ulteriori percorsi di analisi del rischio.

Anche la giurisprudenza della Corte di Giustizia, della Corte di Cassazione e della Corte Costituzionale confermano del resto tale impostazione.

Leggendo la sentenza dell’8 aprile 2004, C- 203/12 e C-594/12, Digital Rights Ireland Ldt, si evince infatti che la stessa afferma che, in base all’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (CEDU), non può esservi ingerenza della pubblica autorità se non in quanto tale ingerenza sia prevista dalla legge e in quanto costituisca una misura necessaria, tra l’altro, per la sicurezza nazionale, l’ordine pubblico, la prevenzione di disordini o reati, la protezione dei diritti e delle libertà altrui.

La conservazione dei dati, rileva la Corte di Giustizia, non è idonea peraltro a pregiudicare, di per sé, il contenuto essenziale del diritto fondamentale alla protezione dei dati personali, sancito all’articolo 8 della Carta, considerato che la direttiva 2006/24 prevede, all’articolo 7, una regola relativa alla protezione e alla sicurezza dei dati, ai sensi della quale gli Stati membri assicurano l’adozione di adeguate misure tecniche e organizzative.

Il discrimen da tenere in considerazione è dato allora dal fatto che la suddetta ingerenza risponde a un obiettivo di interesse generale, per fini di indagine, accertamento e perseguimento di reati gravi, quali definiti da ciascuno Stato membro nella propria legislazione nazionale, laddove anche il Considerando 7 della direttiva 2006/24 afferma che, a motivo dell’importante aumento delle possibilità offerte dalle comunicazioni elettroniche, il Consiglio “Giustizia e affari interni” del 19 dicembre 2002 ha considerato che i dati relativi all’uso di queste ultime costituiscono uno strumento particolarmente importante e valido nella prevenzione dei reati e nella lotta contro la criminalità.

La suddetta sentenza si esprime del resto anche sul tema della proporzionalità, affermando che occorre prevedere regole chiare e precise che disciplinino la portata e l’applicazione delle misure e impongano requisiti minimi, in modo che le persone i cui dati sono stati conservati dispongano di garanzie sufficienti che permettano di proteggere efficacemente i loro dati personali.

E questo, rileva la Corte di Giustizia, prevedendo, ad esempio, un numero limitato di persone che dispongano dell’autorizzazione di accesso e di uso ulteriore dei dati conservati a quanto strettamente necessario alla luce dell’obiettivo perseguito.

Sul tema, la stessa Corte di giustizia ha infine a più riprese affermato che:

“La lotta contro l’elusione fiscale e l’efficacia dei controlli fiscali possono essere invocate per giustificare restrizioni all’esercizio delle libertà fondamentali garantite dal Trattato (v. sentenza Strojírny Prostějov e ACO Industries Tábor, C-53/13 e C-80/13, EU:C:2014:2011, punto 55 nonché giurisprudenza ivi citata). Parimenti, la necessità di garantire l’efficacia della riscossione dell’imposta, invocata dalla Repubblica francese nella sua memoria d’intervento, costituisce una ragione imperativa di interesse generale tale da giustificare una restrizione alla libera prestazione dei servizi (v. sentenza X, EU:C:2012:635, punto 39)” (Corte di giustizia, sentenza 11 dicembre 2014, in causa C-678/11, paragrafi 45 e 46).

I nodi da sciogliere su intelligenza artificiale, Fisco e privacy

Ai fini di specie sembra dunque risultare dirimente quella definizione di “interesse fiscale” elaborata dalla giurisprudenza costituzionale, la quale ha identificato il concetto di “interesse fiscale”, chiarendo che quest’ultimo riceve una sua particolare tutela all’interno della Carta costituzionale, configurandosi non come uno degli interessi indistinti che sono affidati alla cura dell’amministrazione statale, ma come un interesse particolarmente differenziato, che attenendo al regolare funzionamento dei servizi necessari alla vita della comunità, ne condiziona l’esistenza (Cfr. Corte Cost., del 26 giugno 1965, n. 50; Corte Cost., del 6 giugno 1974, n. 164).

In un tale contesto, l’intelligenza artificiale contempla dunque meccanismi di machine learning e crea un sistema che non si limita solo ad applicare le regole software e i parametri preimpostati, ma, al contrario, elabora costantemente nuovi criteri di inferenza tra dati e assume decisioni efficienti sulla base di tali elaborazioni, secondo un processo di apprendimento automatico (vedi Consiglio di Stato, sentenza 25 novembre 2021, n. 7891).

La nozione di sistema di intelligenza artificiale dovrebbe essere tuttavia chiaramente definita per garantire la certezza del diritto.

La Commissione europea, nella sua proposta di regolamentazione dell’IA del 21 aprile 2021, ha affermato a tal proposito che “la nozione di sistema di IA dovrebbe essere chiaramente definita per garantire la certezza del diritto, fornendo nel contempo la flessibilità necessaria per accogliere i futuri sviluppi tecnologici”.

L’uso dell’intelligenza artificiale, del resto, si sta ormai espandendo in tutti i settori, compreso quello fiscale, anche considerato che la lotta all’evasione fiscale si farà sempre più tecnologica e sempre più si baserà su un uso efficace delle banche dati e dei milioni di dati in esse conservati.

Il Consiglio di Stato, con le sentenze nn. 2936/2019 e 8474/2019, ha espresso peraltro, sul tema, interessanti considerazioni, affermando, tra le altre, che aspetti fondamentali per l’utilizzo legittimo di tali sistemi in funzione accertativa sono comunque la piena conoscibilità dello strumento e la imputabilità al titolare del potere.

Il meccanismo attraverso il quale si concretizza la decisione “robotizzata” (ovvero l’algoritmo) deve quindi essere conoscibile, dovendo la “formula tecnica”, che di fatto rappresenta l’algoritmo, essere corredata da spiegazioni che la traducano nella “regola giuridica” e che la rendano leggibile e comprensibile.

Ciò al fine di poter verificare che i criteri, i presupposti e gli esiti del procedimento robotizzato siano conformi alle prescrizioni e alle finalità stabilite dalla legge e affinché siano chiare (e quindi sindacabili) le modalità in base alle quali esso è stato impostato.

Quanto invece al principio di imputabilità, questo trova fondamento nella necessità di garantire che sia sempre individuato un soggetto (persona fisica) responsabile, a cui possano essere ricondotti gli effetti dell’azione amministrativa adottata dall’algoritmo.

Tema questo affrontato anche nella Carta della Robotica del febbraio 2017 del Parlamento Europeo, in cui sono stati analizzati proprio i criteri di imputazione della responsabilità in caso di uso di sistemi di intelligenza artificiale.

E tutto questo, come detto, vale anche ai fini fiscali.

Il principio di trasparenza amministrativa assume quindi una nuova forma, così come disegnata dagli articoli 13 e 14 del GDPR, in materia di informazioni da rendere agli interessati e dall’art. 15, in materia di diritto di accesso, per cui il meccanismo attraverso il quale si concretizza la decisione “automatizzata” (ovvero l’algoritmo) deve essere conoscibile anche se riferito ad una regola espressa in un linguaggio differente da quello giuridico.

Quanto alla imputabilità, questa trova fondamento nella necessità di garantire la verifica degli esiti delle decisioni automatizzate, in termini di logicità e correttezza degli stessi.

Il richiamo è, in questo senso, all’art. 22 del GDPR, che disciplina proprio le decisioni automatizzate, e che prevede un vero e proprio diritto delle persone a richiedere l’intervento di un essere umano, e quindi ad individuare un centro di imputazione.