PALESE. — Al Ministro dell'economia e delle finanze. — Per sapere – premesso che:

   a gestire il complesso sistema informatico di trasmissione dei dati fiscali e delle comunicazioni dei contribuenti italiani all'Agenzia delle entrate è la Sogei, società pubblica (che si occupa appunto di custodire e far funzionare l'enorme archivio dell'anagrafe tributaria), vigilata dal Ministero dell'economia e delle finanze;

   purtroppo, dal 2008, il Garante per la protezione dei dati personali segnala evidenti criticità nei sistemi di protezione dei dati, che, nel caso dello «spesometro» (una delle comunicazioni obbligatorie che i soggetti titolari di partita Iva, imprese e lavoratori autonomi sono tenuti ad inviare all'Agenzia delle entrate), hanno prodotto la violazione di dati sensibili di diversi utenti;

   numerosi professionisti hanno segnalato falle nel sistema di trasmissione dati per lo «spesometro»: una volta inserite le credenziali Entratel (servizio telematico che consente la trasmissione telematica di documenti, dichiarazioni ed atti) si poteva accedere a dati dello «spesometro» di altro contribuente e alle sue liquidazioni Iva semplicemente, inserendo il suo codice fiscale. Tramite codice fiscale un intermediario poteva avere accesso anche ai dati relativi agli assistiti (in caso di modifica scattava, però, un alert al titolare dalle informazioni). Infine, inserendo per errore una cifra sbagliata del codice della ricevuta di invio, si potevano visualizzare dettagli altrui;

   la risposta dell'amministratore delegato della Sogei, Andrea Quacivi, nell'audizione parlamentare sulla vicenda all'interrogante non è parsa convincente: l'amministratore delegato, infatti, ha parlato di un incidente di percorso, di un'eccezione alla regola di un sistema di protezione che, dal 1976 ad oggi, è risultato, a suo dire, inattaccabile;

   come anticipato, il Garante per la protezione dei dati personali non è della stessa idea, avendo riscontrato, da almeno 9 anni, ripetute criticità nella protezione dei dati del sistema informatico del fisco, con la Sogei colpevole di non aver provveduto a rendere il sistema sicuro, né prima né dopo le segnalazioni;

   la prima segnalazione documentata del Garante risale al 18 settembre 2008, relativa ai problemi di accesso all'anagrafe tributaria da parte dei soggetti esterni ed alla mancanza di un quadro d'insieme su chi si collegava al sistema, nonché di certificati attendibili a garanzia della riservatezza, con il rischio di acquisizione indebita di credenziali di autenticazione e successivi utilizzi impropri dell'applicazione;

   altre segnalazioni simili sono arrivate nel 2009, 2012, 2015, 2016 e 2017 e dimostrano che il problema è strutturale e che le preoccupazioni del Garante sono continue;

   per questo motivo il Garante, nella persona di Antonello Soro, ad inizio 2017 ha scritto al Ministro dell'economia e delle finanze, Pier Carlo Padoan, nonché all'allora direttore generale dell'Agenzia delle entrate, Rossella Orlandi, segnalando le vulnerabilità del sistema Sogei, con particolare riferimento al sito servizitelematici.gov.it, al Ftp (file transfer protocol per lo scambio automatizzato di dati), alla mancanza di alert sugli accessi effettuati da parte di soggetti diversi dal titolare dei dati e sui rischi del rilascio delle credenziali di accesso a Fisconline tramite busta domiciliata;

   la Sogei gestisce da 41 anni tutta la storia fiscale di oltre 60 milioni di italiani e sta procurando, secondo l'interrogante, a tutto il sistema fiscale un enorme danno di immagine –:

   quali urgenti iniziative il Ministro interrogato intenda adottare, con gli strumenti di competenza e di concerto con l'Agenzia delle entrate, sia sul piano dell'implementazione tecnologica, sia sul piano della revisione organizzativa, per innalzare i livelli di sicurezza degli accessi e della condivisione di dati ed informazioni sensibili degli utenti attraverso il sistema informatico di trasmissione dei dati fiscali, delle comunicazioni e delle segnalazioni gestito dalla Sogei, affinché non si ripetano più falle nel sistema di protezione.
(4-18183)