L’intelligenza artificiale nelle indagini tributarie: rassegna normativa

/in /da

Memento + Expert solution Contenzioso tributario – L’intelligenza artificiale nelle indagini tributarie: rassegna normativa

 

L’intelligenza artificiale nelle indagini tributarie: rassegna normativa

di Paolo Dalle Carbonare

 

 

ABSTRACT

L’impiego di tecnologie digitali ed intelligenza artificiale nel sistema tributario comporta la necessità di regolamentarne i confini dell’utilizzo, anche a garanzia dei diritti fondamentali del contribuente. La disciplina vigente in materia di dati e algoritmi, anche di recente introduzione, prevede una zona franca che sacrifica le garanzie fondamentali in favore dell’interesse erariale alla riscossione.

 

La legge delega per la riforma del diritto tributario del 2023 ha segnato l’ingresso dell’intelligenza artificiale nel sistema tributario italiano. Essa prevede, infatti, il ricorso a tecnologie digitali e alle soluzioni di intelligenza artificiale per la piena utilizzazione dei dati che affluiscono al sistema informativo dell’anagrafe tributaria, nonché quelli resi disponibili dalla fatturazione elettronica, ai fini della prevenzione del rischio di infedeltà fiscale e dell’incentivo alla collaborazione tra amministrazione finanziaria e contribuenti (Legge 9 agosto 2023, n. 111, art. 2).

Chi prevedeva un massiccio utilizzo degli algoritmi nelle verifiche e nella formazione di atti accertativi in modo autonomo è stato tuttavia deluso, poiché il decreto attuativo della delega circoscrive l’applicazione della nuova tecnologia alla ricerca di indicatori di rischio di infedeltà fiscale per il contrasto dell’evasione e delle frodi fiscali (D. Lgs. 12 febbraio 2024, n. 13, art. 2). Sono così elusi, per ora, i problemi che sarebbero sorti se gli algoritmi avessero potuto formare atti accertativi in modo autonomo: tema che ha impegnato a lungo la giurisdizione amministrativa, che ha sancito i principi di necessaria conoscibilità dell’algoritmo, di non esclusività delle decisioni algoritmiche e di non discriminazione.

Non si può negare, comunque, che l’ingresso dell’intelligenza artificiale nel settore tributario comporta la necessità di aggiornare le categorie giuridiche tradizionali, anche nel settore del diritto tributario. Oltre alla specifica regolamentazione dell’utilizzo e realizzazione di sistemi di intelligenza artificiale, si rende necessaria una disciplina sul trattamento dei dati necessari per l’allenamento dell’algoritmo.

La prima ad intuire la necessità di regolare l’utilizzo dell’intelligenza artificiale è stata l’Unione Europea che, grazie alle dimensioni del suo mercato interno, riesce tradizionalmente ad esportare le proprie regole e standard, rispettate pur non essendo obbligatorie anche oltre i confini europei (c.d. Brussels effect). La sensibilità dell’Unione per la tutela dei diritti dei cittadini, ed in particolare per la tutela dei loro dati personali, si era già manifestata con l’emanazione del General Data Protection Regulation (Regolamento 2016/679, comunemente GDPR), utilizzato quale tutela dei diritti individuali di riservatezza dall’uso dell’intelligenza artificiale prima dell’emanazione della disciplina specifica (Regolamento 2024/1689, c.d. AI Act). Sulla scia della normativa europea, l’Italia ha approvato il 17 settembre 2025, primo tra i Paesi dell’UE, una disciplina interna che regolamenta lo sviluppo, la sperimentazione e l’utilizzo delle nuove tecnologie (Legge 23 settembre 2025, n. 132).

 

Utilizzo dei dati per l’allenamento dell’intelligenza artificiale: quale tutela?

Un tema collaterale a quello dell’utilizzo dell’intelligenza artificiale è quello della tutela dei dati raccolti e conservati per essere utilizzati nell’allenamento dell’algoritmo. Si tratta di un interesse primario del cittadino, sancito dall’articolo 8 (Protezione dei dati di carattere personale) della Carta dei diritti fondamentali dell’Unione Europea.

In questo campo il cittadino europeo trova la tutela nel regolamento 2016/679 (GDPR), che stabilisce una serie di obblighi a carico del responsabile del trattamento dei dati, riconoscendo altresì all’interessato il diritto di avere il controllo sulle informazioni che lo riguardano, di sapere se e come vengono trattati, il diritto ad ottenerne una rettifica o la cancellazione. Il Regolamento prevede anche che possano essere utilizzati solo i dati necessari a specifiche finalità. Il cittadino può altresì opporsi al trattamento dei propri dati per motivi personali.

Per quanto riguarda lo specifico dell’utilizzo dei dati da parte dell’intelligenza artificiale, il Regolamento attribuisce al cittadino il diritto di non essere sottoposto ad un trattamento automatizzato dei dati senza la garanzia dell’intervento umano nel processo e la possibilità di contestarne il risultato.

Lo stesso regolamento, tuttavia, sancisce che il diritto alla riservatezza dei dati non è un diritto assoluto, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità (considerando 4).

La stessa norma afferma la liceità del trattamento dei dati quando necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, come accade per la raccolta, conservazione ed utilizzo dei dati da parte dell’amministrazione finanziaria (art. 6, par. 1, lett. e).

Il testo della legge prevede che il diritto dell’Unione o di uno Stato membro possano limitare, mediante “misure legislative” delle quali sono determinati i contenuti minimi, i diritti ivi previsti, qualora la limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare obiettivi di interesse pubblico generale, tra i quali è citata la materia monetaria, di bilancio e tributaria (art. 23).

Non v’è dubbio, alla luce di tale disposizione, che il diritto alla riservatezza possa essere compresso a favore del diritto dello Stato alla riscossione dei tributi. Più problematica è parsa la questione su cosa si debba intendere per “misure legislative”, ossia se il diritto alla riservatezza possa essere limitato con qualsiasi misura legislativa oppure necessiti una legge ordinaria dello Stato. Sul tema, è lo stesso regolamento a prevedere che con tale termine non si intenda far riferimento esclusivamente ad un atto legislativo del parlamento, ma anche disposizioni normative secondarie, seppur nel rispetto dell’ordinamento costituzionale dello Stato membro (considerando 41). La dottrina prevalente ritiene che tale principio debba essere interpretato alla luce della nostra Costituzione, che tutela i diritti fondamentali del cittadino con una duplice garanzia: la riserva di legge, che ne assicura la disciplina attraverso fonti primarie, dall’altro la riserva di giurisdizione, che tutela il cittadino mediante l’intervento dell’autorità giudiziaria. Per questo motivo, è stato affermato, la compressione del diritto alla riservatezza necessita di una legge in senso formale, emanata dal Parlamento. Non sembra pensarla così il nostro legislatore che, proprio in tema di analisi del rischio fiscale attraverso strumenti di intelligenza artificiale, ha affidato ad un emanando regolamento del Ministro dell’economia e delle finanze, seppur dopo aver sentito il Garante, la definizione delle modalità con le quali possano essere limitati i diritti alla riservatezza del cittadino. Sarà lo stesso Ministero cui è devoluta l’attività di controllo della fedeltà fiscale, quindi, a stabilire le modalità di “confisca” del diritto alla riservatezza del cittadino.

 

Gli interessi pubblici dello Stato prevalgono sui diritti del contribuente

L’Italia si era dotata, già prima dell’entrata in vigore del GDPR, di un proprio codice in materia di protezione dei dati personali (D. Lgs. 30 giugno 2003, n. 196). Il codice, la cui esigenza era dettata dalla necessità di riunire e coordinare in un unico testo le diverse normative vigenti in materia, ha introdotto nella disciplina principi quali la liceità, la correttezza e la trasparenza del trattamento, l’obbligo di utilizzare i dati solo per finalità determinate e legittime, il principio di pertinenza e non eccedenza, nonché la necessità di garantire sicurezza e riservatezza delle informazioni. Con l’entrata in vigore del GDPR la disciplina europea ha assunto carattere direttamente vincolante in tutti gli Stati membri, si è resa necessaria la riformulazione del codice per adeguarlo alla normativa europea (D.Lgs. 10 agosto 2018, n. 101).

Per quanto attiene all’ambito tributario, va segnalato che il codice prevede che il trattamento dei dati personali da parte di un’amministrazione pubblica sia consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o nell’esercizio di pubblici poteri, purché non sia arrecato un pregiudizio effettivo e concreto alla tutela dei diritti e delle libertà degli interessati (art. 2-ter). Nello specifico viene specificato che i diritti di cui agli articoli da 15 a 22 del GDPR, non possono essere esercitati qualora ne possa derivare un pregiudizio effettivo e concreto agli interessi tutelati in materia tributaria e allo svolgimento delle attività di prevenzione e contrasto dell’evasione fiscale. Anche la normativa domestica, quindi, prevede la preminenza dell’interesse pubblico alla riscossione dei tributi rispetto al diritto alla riservatezza dei dati del contribuente.

 

Quali garanzie dall’Artificial Intelligence Act per il settore dei tributi?

Forte della leadership in ambito normativo e confidando sul c.d. “Brussels effect”, l’Unione Europea ha, per prima, varato una disciplina volta a regolamentare la creazione e l’utilizzo dei sistemi di intelligenza artificiale (Regolamento 2024/1689 del 13 giugno 2024).

Il Regolamento ha, anzitutto, il pregio di aver dato una definizione giuridica di intelligenza artificiale, che viene descritta quale sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali. Si tratta di una definizione molto ampia, capace di ricomprendere buona parte degli strumenti informatici.

Il legislatore europeo ha adottato un approccio “rischiocentrico”, classificando i sistemi i di intelligenza artificiale in quattro categorie. La prima è quella dei sistemi caratterizzati da un rischio inaccettabile, la cui immissione sul mercato è vietata, tra i quali sono classificati gli utilizzi per il  social scoring o alcune forme di sorveglianza biometrica in tempo reale. La seconda categoria, alla quale viene dedicata gran parte del testo, è quella dei sistemi ad alto rischio, il cui utilizzo è subordinato al rispetto di regole stringenti, quali l’istituzione di un sistema di gestione dei rischi (art. 9), la regolamentazione della raccolta e gestione dei dati di addestramento dei sistemi in termini di qualità di dati immessi (art.10), la redazione preventiva della documentazione tecnica (art. 11), il rispetto di regole di trasparenza nel funzionamento (art. 13), la necessità della supervisione umana durante l’utilizzo (art. 14) ed altre ancora. Il regolamento identifica, negli allegati soggetti ad aggiornamento periodico, quali sono i sistemi ad alto rischio. Vi sono poi i sistemi a rischio limitato, assoggettati prevalentemente a obblighi informativi e di trasparenza nei confronti degli utenti. Restano invece sostanzialmente ad utilizzo libero i sistemi classificati a rischio minimo o trascurabile.

Il Regolamento istituisce un sistema di controllo su due livelli: a livello nazionale sono istituite autorità di vigilanza, mentre a livello sovranazionale operano il Comitato europeo per l’intelligenza artificiale e il nuovo Ufficio europeo per l’IA.

Il considerando 61 del Regolamento si occupa dei sistemi di intelligenza artificiale destinati ad essere usati dall’autorità giudiziaria nelle attività di ricerca ed interpretazione dei fatti e del diritto e dell’applicazione della legge al caso concreto. Alcuni di questi, potenzialmente fonte di distorsioni, errori e opacità, dovrebbero essere classificati, al pari di quelli utilizzati dagli organismi di risoluzione alternativa delle controversie, come sistemi ad alto rischio. Lo stesso considerando prevede che l’utilizzo di strumenti di IA possa fornire sostegno al potere decisionale dei giudici o all’indipendenza del potere giudiziario, ma che non dovrebbe sostituirli: il processo decisionale finale deve rimanere un’attività a guida umana. Non sono considerati ad alto rischio, invece, i sistemi di intelligenza artificiale destinati ad attività amministrative accessorie all’attività giudiziaria.

Per quanto riguarda l’applicazione al sistema tributario, il Regolamento prevede, invero con una formulazione che ha dato adito a contrastanti interpretazioni, che i sistemi di intelligenza artificiale utilizzati per scopi amministrativi dalle autorità fiscali, doganali o unità di informazione finanziaria per attività legate all’antiriciclaggio non siano considerati ad alto rischio (considerando 59). Alla luce di tale disposizione, l’applicazione dell’intelligenza artificiale da parte delle autorità fiscali dovrà essere classificata tra quelle a rischio limitato e quindi non soggetta ad obblighi particolari se non quelli si trasparenza informativa, che si sostanziano esclusivamente nell’obbligo di informare il contribuente che nel controllo fiscale cui è sottoposto saranno utilizzati strumenti di intelligenza artificiale. Nulla vieta, tuttavia, che alcuni strumenti utilizzati dall’amministrazione possano rientrare, anche per effetto delle revisioni periodiche, tra quelli oggettivamente ad alto rischio inclusi nell’allegato III al regolamento. Ciò accadrebbe, ad esempio, nel caso in cui l’amministrazione finanziaria, al fine di accertare la permanenza nel territorio dei soggetti ai fini dell’attribuzione della residenza fiscale, decidesse di utilizzare sistemi di identificazione biometrica remota.

Restano altresì impregiudicati i diritti precedentemente previsti dalle norme unionali in materia di protezione dei dati (considerando 9 e 10).

 

L’importanza del fattore umano nell’utilizzo dei sistemi di intelligenza artificiale

Prima fra i Paesi dell’Unione, l’Italia ha adottato una propria legge che regola l’utilizzo dei sistemi di intelligenza artificiale, stabilendone i principi generali che devono orientare ricerca, sviluppo e applicazione, al fine di promuovere l’innovazione senza sacrificare diritti, democrazia e sicurezza, senza introdurre nuovi obblighi rispetto alla normativa europea (Legge 23 settembre 2025, n. 132).

La legge, costruita su una visione antropocentrica dei sistemi di intelligenza artificiale che punti a garantire che l’autonomia e il potere decisionale restino in mano alle persone, oltre a fare ampio rinvio al Regolamento europeo della materia,  enuncia una serie di principi che devono essere rispettati nello sviluppo e l’utilizzo di questi sistemi: rispetto dei diritti fondamentali sanciti dalla Costituzione e del diritto unionale, di trasparenza, di spiegabilità, di proporzionalità, di sicurezza, di protezione dei dati personali e riservatezza nel rispetto del GDPR, di non discriminazione, di parità di genere e di sostenibilità.

In tema di protezione dei dati, la legge italiana si occupa della salvaguardia della libertà e del pluralismo dei mezzi di comunicazione, della libertà di espressione, oltre che della completezza, imparzialità dell’informazione, puntando alla garanzia di trattamento lecito, corretto e trasparente dei dati personali e alla compatibilità del loro utilizzo con le finalità per i quali sono raccolti (art. 4).

Tra le specifiche applicazioni delle quali la legge si occupa (sicurezza e difesa nazionale, ambito sanitario, ricerca e sperimentazione scientifica, mondo del lavoro), meritano attenzione quelle che riguardano l’utilizzo nella pubblica amministrazione e nell’attività giudiziaria. Relativamente ai primi la legge prevede che l’intelligenza artificiale sia utilizzata in funzione strumentale e di supporto all’attività provvedimentale, rispettando l’autonomia ed il potere decisionale della persona, che rimane unica responsabile dei provvedimenti e dei procedimenti. Quanto all’attività giudiziaria, la legge prevede che, nonostante l’utilizzo di sistemi di intelligenza artificiale, la decisione sull’interpretazione e sull’applicazione della legge sulla valutazione dei fatti e delle prove e sull’adozione dei provvedimenti sia sempre riservata al magistrato.

La legge delega il Governo a definire una disciplina organica relativa all’utilizzo di dati, algoritmi e metodi matematici per l’addestramento di sistemi di intelligenza artificiale.