argomento: Principi generali e fonti - Legislazione e prassi

PAROLE CHIAVE: intelligenza artificiale - procedimento tributario - principio di legalità

di Concetta Ricci

1. Uno dei temi più controversi nel dibattito circa l’uso dell’intelligenza artificiale nel procedimento tributario è quello del corretto bilanciamento tra finalità pubbliche e diritti individuali del contribuente.

I termini della questione sono sostanzialmente questi: fino a che punto l’Amministrazione finanziaria può spingersi nell’utilizzo di sistemi automatizzati con finalità di contrasto all’evasione e all’elusione fiscale, sacrificando i diritti del contribuente. Ma, soprattutto, come si giustifica questa deroga e quali sono - o quali dovrebbero essere - i presidi a favore del contribuente.

La risposta a questi interrogativi presuppone un ragionamento su due livelli: il primo è quello delle regole a cui l’Amministrazione finanziaria deve attenersi affinché l’uso dell’intelligenza artificiale nel procedimento tributario sia legittimo; l’altro è quello dell’individuazione della fonte di quelle regole.

Due i capisaldi per un uso legittimo dell’IA nel procedimento tributario e li troviamo entrambi scolpiti nella normativa europea:

1. il principio di responsabilizzazione della Pubblica Amministrazione, che regolamenta l’uso dei dati personali del contribuente, affinché sia compatibile e proporzionato rispetto alle finalità per le quali sono trattati;
2. il principio di legalità, che invece deve sovraintendere alla definizione di quelle finalità e di quei limiti.

Sono questi, dunque, i profili, in particolare quello della “base giuridica” del trattamento in funzione della “responsabilizzazione” del Fisco, su cui si intende formulare alcune considerazioni.

2. L’idea di base del ragionamento è che nella responsabilizzazione dell’Amministrazione finanziaria nell’uso delle tecnologie digitali ci sia la soluzione per un’adeguata tutela dei diritti del contribuente e non solo del suo diritto alla riservatezza dei dati personali, ma anche, più in generale, del suo diritto di difesa a fronte di atti impositivi basati sull’uso di algoritmi.

Pertanto, si utilizzerà il principio di responsabilizzazione, che permea di sé l’intero GDPR (Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016) e che ritroviamo, sia pur con profili diversi, nell’Artificial Intelligence Act (AI Act) (Regolamento (Ue) 2024/1689 del Parlamento Europeo e del Consiglio del 13 giugno 2024) dell’Unione Europea, come chiave ermeneutica per cercare di trovare un equilibrio tra finalità pubbliche e diritti individuali.

Prima, però, di entrare nel merito del ragionamento, occorre fare una precisazione di ordine terminologico, ma non per questo soltanto formale.

Il principio di “responsabilizzazione” trova la sua fonte nell’art. 5, par. 2 del GDPR. Tuttavia, quello che nella traduzione italiana del Regolamento viene definito “principio di responsabilizzazione”, nella sua versione originale trova invece una definizione più puntuale in termini di “accountability”.

La precisazione non è soltanto formale ma sostanziale, giacchè l’accountability, riconosciuta in capo al titolare del trattamento, non implica soltanto una sua generale responsabilità, ma comprende in sé un preciso obbligo di trasparenza, o, meglio ancora, di rendicontazione circa le modalità di trattamento dei dati per le finalità per le quali tale trattamento è ammesso.

I contorni di questa responsabilità sono poi meglio chiariti nel Considerando n. 74 del Regolamento, che declina l’accountability nel suo duplice significato di “responsability and liability” del titolare del trattamento e che, invece, nella versione italiana è stata riportata con la poco efficace traduzione “responsabilità generale”.

E’ utile, quindi, rifarsi a quella più chiara definizione contenuta nella versione originale del Regolamento, per meglio delineare i contorni di questa responsabilità e quindi, dal lato opposto, le possibili forme di tutela a favore del contribuente.

3. La “responsability” ai sensi dell’art. 24 par. 1 del Regolamento UE n. 2016/679, è l’obbligo, posto a carico del titolare del trattamento dei dati, di “mettere in atto misure tecniche e organizzative adeguate per garantire (…), che il trattamento è effettuato conformemente al (...) regolamento”. Il titolare del trattamento, dunque, deve adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento; lo stesso deve, in sostanza, autonomamente, e deve farlo a monte, ossia prima di procedere al trattamento dei dati vero e proprio, assicurare che ogni progetto sia concepito per tutelare la riservatezza degli utenti (privacy by design) e che, nella prospettiva di una protezione efficiente, lo stesso persegua una minimizzazione delle finalità e della durata di ogni trattamento (privacy by default) (art. 25 Regolamento (UE) n. 2016/679).

Quindi, il principio di accountability, declinato in termini di “responsability”, introduce un “modello di responsabilità volto alla prevenzione del danno” (Così A. Mantelero, Responsabilità e rischio nel Reg. UE 2016/679, in Nuove leggi civ. comm., 2017, 146 ss. Sui profili connessi alla responsabilità del titolare del trattamento, v. D. Barbierato, Trattamento dei dati personali e « nuova » responsabilità civile, in Resp. Civ. Prev., n. 6, 2019, 2151 ss.), offrendo, per questa via, una forma di tutela immediata del contribuente, che può evitare la lesione dei propri diritti se ritiene che il trattamento dei dati che lo riguardano non è conforme alla disposizioni vigenti (ai sensi dell’art. 77, comma 1, del Regolamento (UE) 2016/679 “Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un'autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione”).

La “liability”, invece, postula una “responsabilità ex post” (in questo senso, v. E. Tosi, Responsabilità civile per illecito trattamento dei dati personali e danno non patrimoniale, Milano, 2019, 52 ss.) che si configura quando si è verificato un danno, ossia quando quelle misure tecniche ed organizzative non sono state adottate oppure non si sono rivelate efficaci per garantire il rispetto dei principi posti dal Regolamento a tutela e protezione dei dati personali. Questo ulteriore profilo connesso al principio di accountability presuppone un’adeguata rendicontazione delle misure di sicurezza adottate, tanto che l’art. 5, par. 2 del Regolamento, precisa che “Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (<>)” e lo stesso art. 24 par. 1, dispone che il titolare del trattamento “deve essere in grado di dimostrare” che le misure tecniche ed organizzative messe in atto garantiscano il rispetto dei principi del Regolamento.

Ne deriva che quando la responsability si configura come liability, l’interessato che ha subito un danno per effetto del trattamento dei dati, può accedere ad una forma di tutela risarcitoria davanti al giudice ordinario, facendo valere il suo diritto ad ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento, ai sensi dell'art. 82 del GDPR.

Si tratta, quindi, di una forma di tutela immediata ed effettiva che rappresenta un diritto a sé rispetto alla tutela riconosciuta al contribuente in sede di impugnativa del provvedimento impositivo, per far valere violazioni attinenti all’attività istruttoria che ha portato all’emissione dell’atto.

Vi è poi l’AI Act che pure utilizza il termine accountability e lo fa anch’esso per delineare una forma di responsabilità ancora una volta diversa e più ampia rispetto alla liability (come evidenziato da G. Donato, Profili di accountability tra bilancio pubblico, intelligenza artificiale e principio democratico, in Bilancio Comunità Persona, 2, 2024, 13 ss.. “nell’AI Act l’uso di accountability  è indirizzato a segnare il rapporto di responsabilità (…) verso l’esterno, mentre il più diffuso utilizzo di responsibility indica o l’onere di portare ad esecuzione un determinato compito o, comunque, una forma di responsabilità diversa da quella pubblica).

L’AI Act pone una serie di regole, di principi di legalità giuridica, già, peraltro, delineati dal nostro Consiglio di Stato nelle note sentenze del 2019 (in particolare, Consiglio di Stato, sez. VI, sentenza 8 aprile 2019, n. 2270; sez. IV, 13 dicembre 2019, n. 8472, su cui v., ex multis, per la dottrina amministrativa, G. Avanzini, Decisioni amministrative e algoritmi informatici, Napoli, 2019; L. Previti, La decisione amministrativa robotica, Napoli, 2023; A. Di Martino, Tecnica e potere nell’amministrazione per algoritmi, Napoli, 2023). Trattasi, in particolare, dei principi 1) di “trasparenza” o “in­telligibilità” dell’algoritmo, teso a rendere conoscibile e comprensibile la formula algoritmica; 2) di “non esclusività della decisione al­goritmica” o, come più efficacemente definito, di “riserva di umanità” (G. GALLONE, Riserva di umanità e funzioni amministrative. Indagine sui limiti dell’automazione decisionale tra procedimento e processo, Padova, 2023), teso a garantire che vi sia sempre un intervento umano “a valle” dell’elaborazione automatizzata; e, infine, 3) di “non discriminazione”.

Il mancato rispetto di questi principi da parte dell’Amministrazione finanziaria pone, anche in questo caso, un problema di violazione del principio di responsabilizzazione e trova adeguata tutela negli istituti e nelle garanzie tradizionali poste dal diritto amministrativo; ci si riferisce all’obbligo di motivazione degli atti, nonché agli istituti tipici della partecipazione procedimentale, il contraddittorio, in primis.

In definitiva, allora, riconoscere la responsabilità dell’Amministrazione finanziaria, nei termini dinanzi chiariti, equivale a dare contenuto agli obblighi di protezione e tutela dei diritti del contribuente (su questi profili, relativi alla responsabilità aquiliana dell’Amministrazione finanziaria, v. A. SALVATI, La tutela aquiliana nei confronti dell’Amministrazione finanziaria, Napoli, 2020; ID., Elementi di prova della colpevolezza dell’A.F., in Riv. tel. dir. trib, 29 ottobre 2020), giacchè quest’ultimo può, facendo leva sul principio di accountability e quindi sui corrispondenti obblighi di trasparenza e rendicontazione, accedere alle forme di tutela, immediata e differita, previste dal GDPR per accertare la responsabilità dell’Amministrazione, in qualità di titolare del trattamento, per un uso illecito dei dati personali del contribuente, ovvero a quelle più tradizionali, che involgono il diritto di difesa del contribuente a fronte di atti impositivi automatizzati.

Pertanto, in realtà, non si pone un problema di mancanze di tutele, giacchè, come visto, le tutele ci sono; piuttosto bisogna capire quando poterle azionare. 

La questione si pone, quindi, in termini di accertamento della responsabilità: occorre comprendere quando l’utilizzo di sistemi algoritmici basati su dati personali del contribuente sia incompatibile con le finalità per cui è stato ammesso e quindi quando l’Amministrazione finanziaria sia andata oltre i limiti imposti per un uso lecito.

4. Questo accertamento della responsabilità sposta la riflessione sul piano della giustificazione e della legittimazione di un’eventuale deroga ai diritti del contribuente: il punto è capire in quali casi e soprattutto su quali basi questa deroga possa essere ammessa.

Anche su questo profilo la normativa europea è chiara ed inequivocabile, perché il legislatore unionale, quando dispone delle deroghe, prevede requisiti e condizioni molto stringenti, concernenti sia la finalità e quindi la giustificazione per cui può essere ammessa, sia la fonte che deve disciplinarla (sulla necessità di sottoporre a stretta interpretazione ed applicazione i presupposti e le misure di deroga ai sistemi di garanzia, v. L. Del Federico,  Riaffermazione e modernizzazione dei diritti dei contribuenti nella trasformazione digitale, (2024) 1 EJPLT, consultabile su https://doi.org/10.57230/EJPLT241LDF, 137 ss.).

La norma di riferimento è l’art. 23, par. 1 del GDPR che, riguardo alla giustificazione, legittima un trattamento, per così dire, “meno” garantista dei dati personali, quando:

- detto trattamento è imposto da finalità di pubblico interesse, e tali vengono considerate anche quelle connesse al contrasto all’evasione fiscale (la materia “di bilancio e tributaria” è infatti espressamente menzionata all’art. 23, par. 1, lett. e) del GDPR e, pertanto, rientra tra le materie per le quali è consentita la limitazione della portata dell’art. 5);

- a condizione che la limitazione «rispetti l’essenza dei diritti e delle libertà fondamentali e sia “una misura necessaria e proporzionata in una società democratica”.

Per quanto concerne invece il secondo profilo, cioè quello della fonte, il Regolamento europeo ammette la deroga solo quando essa trovi fonte in una “base giuridica” che, secondo l’art. 23, par. 1, deve essere rappresentata da “una misura legislativa” e secondo l’art. 6, par. 3 del GDPR: “deve essere stabilita: a) dal diritto dell'Unione; o b) dal diritto dello Stato membro”.

In definitiva, quindi, il GDPR ammette la possibilità di prevedere delle deroghe al diritto alla riservatezza dei dati personali, ma solo a condizione che le finalità e i limiti entro cui la deroga può essere ammessa siano delineate da una legge, con la conseguenza che in assenza di una base legale, l’uso di sistemi di IA che presuppongono un trattamento dei dati personali del contribuente deve considerarsi illecito (

Né ad un’interpretazione meno garantista si giungerebbe sulla scorta delle previsioni contenute nel Considerando n. 41 del Regolamento generale sulla protezione dei dati, in quanto è vero che quest’ultimo dispone che “quando il Regolamento si riferisce a una base giuridica o a una misura legislativa ciò non richiede necessariamente l’adozione di un atto legislativo da parte di un parlamento”, tuttavia poi precisa che sono “fatte salve le prescrizioni dell’ordinamento costituzionale dello Stato membro interessato”.

E’ chiaro che nella prospettiva italiana, la questione può essere facilmente risolta richiamando i noti limiti imposti dal principio della riserva di legge di cui all’art. 23 Cost.; in sostanza, in Italia, ma considerazioni analoghe riguardano gli ordinamenti degli altri Stati Ue che prevedono un analogo livello di garanzie costituzionali, l’utilizzo dei sistemi di Ia che presuppongono l’uso dei dati personali del contribuente è ammesso per finalità di contrasto all’evasione fiscale ma solo ove trovi adeguata base giuridica (in proposito, v. le considerazioni di L. Del Federico, Riaffermazione e modernizzazione dei diritti dei contribuenti nella trasformazione digitale, (2024) 1 EJPLT, 139, consultabile su https://doi.org/10.57230/EJPLT241LDF), il quale, con riferimento alle previsioni contenute nel Considerando n. 41 del GDPR, afferma: “Clausola comprensibile, considerando l’estrema varietà ordinamentale dei diversi Stati membri sul piano delle fonti, ma di certo inidonea a degradare il livello delle garanzie richiesto dalle prescrizioni costituzionali dei diversi Stati (…)).

5. Possiamo quindi tracciare le prime conclusioni, cui si giunge da una lettura attenta dei regolamenti unionali.

Il principio di responsabilizzazione previsto dal GDPR e dall’AI Act comporta l’onere per l’Amministrazione finanziaria di rendicontare e quindi di rendere conoscibili e trasparenti al contribuente, le regole giuridiche sottostanti alle modalità di funzionamento degli algoritmi utilizzati nella fase di attuazione dei tributi. Questo si traduce nella necessità di rispettare una serie di obblighi, già codificati dal nostro ordinamento e che certamente trovano applicazione anche ai procedimenti basati sull’utilizzo dei big data: obbligo del contraddittorio preventivo, obbligo di informazione; obbligo di motivazione. Se L’Agenzia delle Entrate non adempie, l’atto emesso in violazione di questi obblighi è viziato, con il rinvio alla normativa in tema di annullabilità degli atti impositivi.

Tuttavia, e veniamo all’altro profilo, la definizione delle regole giuridiche, su cui gli algoritmi sono stati costruiti e che devono essere rese conoscibili da un’Amministrazione che rispetti i suoi obblighi di accountabilityverso il contribuente, non può essere demandata alla stessa Amministrazione Finanziaria – tramite propri atti amministravi – perché è necessario che discenda dalla norma primaria, nel rispetto del principio di legalità.

In definitiva, l’utilizzo degli algoritmi nella fase dell’istruttoria tributaria presuppone, in capo al legislatore, la corretta definizione normativa delle finalità e dei mezzi e, in capo all’Amministrazione, l’onere di rendere trasparenti le modalità di funzionamento di quella tecnologia digitale, dimostrandone la conformità alle regole poste dalle norme primarie (in questo senso, v. F. Paparella, L’ausilio delle tecnologie digitali nella fase di attuazione dei tributi, in Riv. dir. trib.,  n. 6, 2022, 637, secondo cui “a differenza di quanto è ipotizzabile nel diritto amministrativo, l’utilizzo degli algoritmi nella nostra materia soggiace ad un duplice ordine di vincoli e, cioè, la conoscibilità e la comprensibilità della regola nel rispetto del principio della trasparenza rafforzata ma, soprattutto, l’adozione di regole conformi alle norme primarie, sostanziali e procedimentali, per evitare che la ponderazione degli interessi sia sottratta al legislatore per essere rimessa all’ente impositore”; A. Contrino, Digitalizzazione dell’amministrazione finanziaria e attuazione del rapporto tributario: questioni aperte e ipotesi di lavoro nella prospettiva dei princìpi generali, in Riv. dir. trib., n. 2, 2023, 119, rileva come debba essere la legge a specificare “i contenuti, i fini e le modalità di uti­lizzazione delle tecnologie stesse, fornendo una risposta seria – subordinata­mente a una lettura compiuta e non svalutativa del principio di cui all’art. 23 Cost. – anche al problema della scarsa trasparenza degli algoritmi e del loro carattere potenzialmente discriminatorio”).

E’ questa, peraltro, l’interpretazione data anche dalla Corte di Giustizia Ue nella sentenza del 24 febbraio 2022, causa C-175/2020 (Su cui v. A. TOMO, La “forza centripeta” del diritto alla protezione dei dati personali: la Corte di giustizia sulla rilevanza in ambito tributario dei principi di proporzionalità, accountability e minimizzazione, in Dir. prat. trib. int., n. 2, 2022, 908 ss.)., in cui i giudici europei pongono l’enfasi sugli artt. 5, 6 e 23 del GDPR al fine di evidenziare la necessità di adottare una solida base giuridica che sia idonea a garantire sia un trattamento dei dati dei contribuenti rispettoso dei principi di minimizzazione e di proporzionalità, sia una maggior responsabilizzazione in tal senso dell’Amministrazione finanziaria: “l’amministrazione tributaria di uno Stato membro non può derogare alle disposizioni dell’articolo 5 del regolamento 2016/679 in assenza di una base giuridica chiara e precisa nel diritto dell’Unione o nel diritto nazionale, la cui applicazione sia prevedibile per le persone che vi sono sottoposte, e che contempli le circostanze e le condizioni in cui può essere limitata la portata degli obblighi e dei diritti previsti da tale articolo 5”.

6. Passiamo ora dai principi generali posti dai regolamenti unionali al nostro diritto positivo e dei due profili delineati - quello della responsabilità dell’Amministrazione finanziaria per mancato rispetto degli obblighi di trasparenza e di rendicontazione e quello, invece, ricollegabile alla violazione del principio di riserva di legge - quest’ultimo è il più preoccupante.

Infatti, l’Amministrazione che utilizzi sistemi basati sull’uso dei big data nel procedimento tributario e che non rispetti gli obblighi di trasparenza, conoscibilità dell’algoritmo, riserva di umanità, non pone nel nostro ordinamento un problema di tutele, perché trovano senz’altro applicazione le stesse garanzie procedimentali che lo Statuto pone a garanzia dei diritti del contribuente in caso di violazione degli obblighi di contraddittorio preventivo, motivazione rafforzata, ecc. 

La questione della “base giuridica” del trattamento dei dati, che pure non dovrebbe destare particolari problemi, stante la garanzia costituzionale posta dall’art. 23 Cost., al contrario si impone come preponderante.

Il nostro legislatore, infatti, rifugge, e lo fa spudoratamente, dagli obblighi impostigli dalla normativa sovranazionale e dalla nostra Carte Costituzionale e “delega” la stessa Amministrazione ad autoregolamentarsi (sul punto, in senso critico, v. A. Contrino, Spinte evolutive (sul piano sovranazionale) e involutive (a livello interno) in tema di bilanciamento fra diritto alla protezione dei dati dei contribuenti ed esigenze di contrasto dell’evasione fiscale, in Riv. tel. dir. trib., 3 ottobre 2023, 12, il quale rileva come, a fronte di significativi passi in avanti compiuti dal legislatore sovranazionale, al contrario, al livello interno, la tendenza va verso la mortificazione del principio della riserva di legge in materia tributaria, consentendo trattamenti di dati personali fondati su atti amministrativi generali; in senso analogo v. Id., Protezione dei dati personali e pervasività delle banche dati fiscali: quale contemperamento? in AA.VV., La digitalizzazione dell’amministrazione finanziaria tra contrasto all’evasione e tutela del contribuente, a cura di E. Marello, A. Contrino, Milano 2023, 123).

Lo fa già con il D. L. 8 ottobre 2021, n. 139 (c.d. “Decreto Capienze”), convertito dalla Legge 3 dicembre 2021, n. 205, introducendo gli “atti amministrativi generali” tra le possibili basi giuridiche per una deroga al diritto al trattamento dei dati. Il suddetto Decreto, infatti, ha modificato normativa in materia di data protection, con particolare riferimento proprio alla disciplina della “base giuridica” dei trattamenti (articoli 2-ter e 2-sexies del D.Lgs. 196/2003 – c.d. Codice Privacy).

Infatti, il D.Lgs. 30 giugno 2003, n. 196, nella sua originaria formulazione, prevedeva, agli articoli 2-ter e 2-sexies, che la base giuridica per il trattamento dei dati personali da parte dei soggetti pubblici dovesse essere costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento.

Con le modifiche introdotte dal D.L. n. 139/2021 è stato ampliato il novero delle fonti regolatorie che possono costituire “base giuridica”. In particolare: è stato espunto il riferimento ai “casi previsti dalla legge”, con la conseguenza che è oggi possibile utilizzare il regolamento, fonte secondaria, anche se non immediatamente previsto dalla fonte primaria; inoltre, è stata prevista la possibilità che il trattamento si fondi anche su un “atto amministrativo generale”, e quindi su un provvedimento dell’Agenzia delle Entrate.

Nello stesso senso va pure l’art. 2, comma 4, del D.Lgs. 12 febbraio 2024, n. 13, secondo cui “Limitatamente alle attività di analisi del rischio condotte dall'Agenzia delle entrate”, il diritto alla tutela dei dati personali dei contribuenti possa subire delle limitazioni la cui definizione è rimessa   ad un regolamento del Ministero dell’economia e delle finanze (su questo profilo v. S Dorigo, L’Amministrazione finanziaria e l’uso dell’intelligenza artificiale: gli indirizzi della delega fiscale e gli approdi (poco rassicuranti) in sede attuativa,  il quale mette in evidenza come la compressione dei diritti individuali dei contribuenti nel contesto di procedure rette dall’intelligenza artificiale sia sempre più rimessa ad una fonte subordinata e, nella specie, allo stesso soggetto pubblico titolare sul lato attivo del rapporto tributario).

E’ chiaro, quindi, che si tratta di norme incostituzionali e non conformi al regolamento, che dunque andrebbero disapplicate.

Se così non fosse, l’Agenzia delle Entrate detterebbe le regole del gioco, definendo finalità del trattamento, possibili limitazioni dello stesso e misure tecniche ed organizzative necessarie per attuarlo, così svuotando di fatto, di significato il principio di responsabilizzazione, che presuppone un controllo di legalità dell’operato della pubblica amministrazione con la conseguenza di limitare, se non addirittura, azzerare, il diritto di “difesa” del contribuente.

E di fatto così è stato, ad esempio, per l’utilizzo dei dati contenuti nelle fatture elettroniche e memorizzati nel sistema dell’Anagrafe tributaria, giacchè l’obbligo di emissione delle fatture elettroniche è stato introdotto con una legge, la legge di bilancio 2018 (L. 27 dicembre 2017, n. 205, art. 1, spec. comma 909, recante “Bilancio di previsione dello Stato per l'anno finanziario 2018 e bilancio pluriennale per il triennio 2018-2020”), che lo giustificava in funzione di finalità diverse rispetto a quelle di contrasto all’evasione fiscale, mentre le regole per predisporre, trasmettere, ricevere e conservare le fatture elettroniche sono state definite con provvedimento del Direttore dell’Agenzia delle entrate (n. 89757 del 30 aprile 2018), dunque, con un atto amministrativo.

In conclusione, nel nostro ordinamento, l’impiego di sistemi di IA che presuppongono l’uso dei dati personali del contribuente in funzione di contrasto del rischio di evasione, non trovando adeguata base giuridica, è chiaramente illegittimo per violazione del principio di legalità posto dalla Costituzione e dal Regolamento Ue n. 2016/679.  

Illegittima non è solo l’attività istruttoria tesa alla profilazione del rischio, se, come è ad oggi, non adeguatamente “autorizzata” da un atto legislativo che ne definisca limiti e finalità,  ma lo sono anche gli atti impositivi emessi sulla base delle risultanze di un’attività di raccolta di  dati e successiva elaborazione degli stessi attraverso sistemi algoritmici, non soltanto quando la “formula algoritmica” non sia resa conoscibile al contribuente, ma prima ancora perché l’uso di quella formula non trovi fonte in una regola di diritto, bensì in un atto amministrativo.