Come negli anni precedenti, il Garante ha esaminato anche lo schema del nuovo provvedimento del Direttore dell’Agenzia sulle modalità di accesso alla dichiarazione precompilata da parte del contribuente e degli altri soggetti autorizzati che, nel confermare le modalità tecniche già sottoposte all’esame del Garante, prevede, a partire dal 2018, che i Centri di assistenza fiscale (Caf) e i professionisti abilitati possano effettuare richieste di accesso alle dichiarazioni precompilate via web, previa autenticazione, oltre che con le credenziali rilasciate dall’Agenzia delle entrate e con una Cns, anche con un’identità Spid. Alcuni Caf espressamente individuati possono inoltre accedere, in via sperimentale, in cooperazione applicativa con cornice di sicurezza, alle dichiarazioni dei redditi precompilate e alle informazioni attinenti alla dichiarazione 730 precompilata disponibili presso l’Agenzia delle entrate (parere 5 aprile 2018, n. 195, doc. web n. 8275939).

Nel parere è dato atto che nello schema di provvedimento, in seguito a specifici approfondimenti effettuati con l’Ufficio, sono state individuate le misure di sicurezza necessarie per consentire ai Caf che aderiscono alla sperimentazione l’accesso alla precompilata, previa stipula di un’apposita convenzione con l’Agenzia delle entrate, redatta nel rispetto del provvedimento del Garante del 18 settembre 2008 (doc. web n. 1549548). Al riguardo, l’Autorità ha ritenuto necessario prescrivere ai predetti Caf l’adozione di una serie di misure al fine di ridurre al minimo i rischi di accessi non autorizzati o di trattamenti non consentiti ai dati personali oggetto di accesso. In particolare, i servizi di cooperazione applicativa resi disponibili dall’Agenzia delle entrate devono essere esclusivamente integrati dai Caf con il proprio sistema informativo e non possono essere resi disponibili a terzi, né direttamente né indirettamente, per via informatica. L’accesso ai servizi di cooperazione applicativa deve essere consentito esclusivamente dagli applicativi del Caf realizzati per le finalità di accesso alla dichiarazione precompilata e i servizi di cooperazione applicativa non possono essere utilizzati da soggetti esterni al Caf anche nell’ipotesi in cui questi operino per conto dello stesso. In nessun caso è consentita la messa a disposizione, da parte dei Caf, dei web service forniti su rete pubblica (Internet) e la procedura di autenticazione dell’utente deve essere protetta dal rischio di intercettazione delle credenziali da meccanismi crittografici di robustezza almeno equivalente a quella offerta dal protocollo TLS1.2 esclusivo, chiavi RSA 2048 bit e cifrari basati su algoritmo AES. I Caf devono altresì tracciare le operazioni concernenti la richiesta di accesso ai dati tramite il canale di cooperazione applicativa e conservarle secondo i requisiti di legge. Nelle richieste di accesso, oltre ai dati di riscontro richiesti per tutti gli accessi alla precompilata da parte dei soggetti autorizzati, devono essere indicati il codice hash del file in formato pdf contenente le copie della delega e del documento del contribuente delegante, nonché la modalità di sottoscrizione della delega. Oltre alle ordinarie modalità di controllo dell’Agenzia delle entrate sulle deleghe e sui documenti di identità indicati nelle richieste di accesso alle dichiarazioni precompilate, i Caf che aderiscono alla sperimentazione devono poi garantire anche un accesso, in cooperazione applicativa con cornice di sicurezza, ai predetti documenti indicati nelle richieste di accesso con modalità asincrona entro 48 ore dalla richiesta dell’Agenzia. Infine, i Caf devono utilizzare proprie procedure, di carattere organizzativo e tecnologico, in grado di evidenziare eventuali anomalie nelle attività di accesso ai dati da parte degli utilizzatori designati. A seguito di una segnalazione prodotta dalle suddette procedure, i Caf dovranno adottare le opportune contromisure volte a prevenire accessi abusivi ai dati. Qualora non sia possibile adottare tempestivamente tali contromisure, i Caf dovranno procedere all’interruzione del servizio, dandone contestuale comunicazione all’Agenzia delle entrate.

In ogni caso, il Garante ha ritenuto necessario rinviare all’esito della valutazione condotta dall’Agenzia delle entrate, anche sulla base degli esiti dei controlli a campione effettuati durante la sperimentazione, il rafforzamento delle misure sopra individuate in relazione alle modalità di accesso dei Caf per i successivi anni d’imposta.

Fonte: Autorità Garante - Relazione 2018