banconote2.jpgL’Anagrafe tributaria è un delicato e complesso sistema informativo al
quale ha accesso – attraverso diversi strumenti telematici (applicativi
Siatel, Puntofisco, Entratel, servizi web etc.) – un numero enorme di
utenti, tra i quali comuni, regioni, province, università, asl,
tribunali, camere di commercio, enti previdenziali, gestori telefonici,
forze di polizia, con migliaia e migliaia di punti di accesso.

Il solo
sistema di collegamento web Siatel viene utilizzato da 9.400 enti
convenzionati e 60.000 utenze, mentre Puntofisco da circa 180 enti e
18.000 utenze.

Per porre rimedio alle carenze riscontrate – che mettono a rischio i dati di tutti i contribuenti italiani – il Garante per la protezione dei dati personali ha imposto all’Agenzia delle entrate una articolata serie di misure, sia tecnologiche che organizzative, per innalzare i livelli di sicurezza degli accessi all’Anagrafe tributaria da parte degli enti esterni e rendere il trattamento dei dati effettuato conforme alle norme sulla protezione dei dati.

Queste nel dettaglio le principali misure che dovranno essere adottate dall’Agenzia delle entrate secondo una precisa tempistica (da tre mesi ad un anno, a seconda della complessità degli adempimenti).

Accessi

Ricognizione periodica degli enti che accedono all’Anagrafe tributaria e verifica delle effettiva necessità di mantenere attivi gli accessi concessi, anche riguardo al numero delle utenze. Blocco degli accessi non conformi alle norme di legge o a quanto previsto dalle convenzioni stipulate con gli enti.

Censimento aggiornato di tutti i flussi di trasferimento dei dati da e verso l’Anagrafe tributaria e di tutti gli accessi di tipo interattivo. L’Agenzia dovrà specificare per ciascun flusso o accesso l’identità dei soggetti legittimati a farlo, la base normativa, la finalità istituzionale, la natura e la qualità dei dati trasferiti o a cui si è avuto accesso, la frequenza ed il volume dei trasferimenti o degli accessi, il numero di soggetti che utilizzano la procedura.

Compartimentazione (cronologica, geografica, per tipologia) dei dati visualizzabili: ciascun utente legittimato potrà accedere ai soli dati necessari a svolgere i compiti di cui è incaricato con l’indicazione obbligatoria del numero della pratica per la quale si consulta il data base.

Adozione di sistemi di allarme per eventuali comportamenti anomali o a rischio, e controlli periodici sugli accessi degli enti esterni e sull’attività svolta da Sogei Spa.

Sistemi di autenticazione

Censimento delle postazioni dei terminali dai quali si ha accesso ai dati, in modo da realizzare procedure di autenticazione più sicure a seconda degli incaricati o dei profili di autorizzazione assegnati.

Adozione di sistemi di "autenticazione rafforzata" (password a scadenza immediata, tessere smart card dotate di Pin) per ridurre la possibilità di usi impropri, cessione o sottrazione delle credenziali di accesso.

Implementazione di un sistema di certificazione digitale per gestire l’identità elettronica dei sistemi informatici e degli utenti della banca dati.

Accessi contemporanei con le medesime credenziali solo in casi eccezionali.

Abilitazioni e autorizzazioni agli utenti

Tracciamento degli utenti che accedono via web, livello minimo di accesso ai dati con limitazioni quantitative e qualitative delle interrogazioni, anche al fine di evitare duplicazioni improprie di banche dati da parte di soggetti esterni. La gestione via web dei flussi di dati deve avvenire su canali di connessione sicuri.

Definizione di soglie relative al numero di utenti che possono essere abilitati da ciascun ente ad accedere all’Anagrafe tributaria.

Tempestiva disabilitazione all’accesso del personale adibito ad altre mansioni o non più in servizio e adeguamento costante dei profili di autorizzazione.

Nelle convenzioni che disciplinano l’accesso all’Anagrafe tributaria, l’Agenzia deve prevedere elevati requisiti di idoneità per gli "amministratori locali" (soggetti preposti all’abilitazione delle utenze all’interno dei vari enti convenzionati) e l’istituzione della figura del "supervisore unico".

Devono essere previste limitazioni orarie per gli accessi di determinate categorie di utenti.


Il Garante ha già programmato per i prossimi mesi un’ulteriore attività di controllo sul sistema informativo della fiscalità, con particolare riguardo alla struttura degli archivi, alla tipologia delle informazioni raccolte, alle modalità con le quali i dati confluiscono nel data base e alle modalità con le quali vengono trattati all’interno.

Con questa iniziativa, così articolata e ampia, il Garante intende anche anticipare l’enorme lavoro di messa in sicurezza della gestione delle banche dati tributarie e fiscali che la realizzazione del federalismo fiscale renderà sempre più complessa e strategica.

Fonte: Garante per la protezione dei dati personali.

Ultimi aggiornamenti

auth code dns url
Recupero Auth Code e trasferimento del dominio Il nome a dominio consiste nella unione di lettere, numeri e altri caratteri speciali di cui l’utente che ne richiede la registrazione diventa legittimo titolare. Pertanto, quest’ultimo può svolgere una serie di attività con il suddetto, tra cui il […]
Novità sul controllo del Green Pass al lavoro La Camera dei deputati ha approvato definitivamente alcuni emendamenti, già passati al Senato, al disegno di legge di conversione del decreto-legge n. 127 del 2021 (in scadenza il 20/11/2021), decreto che aveva introdotto le attività di verifica del […]
kit green pass
DL n. 127/2021: il Green Pass e le misure organizzative del datore di lavoro Il 21 settembre 2021, il Presidente della Repubblica Sergio Mattarella ha firmato il decreto-legge n. 127 che ha esteso l’obbligatorietà dell’uso del Green Pass anche al mondo del lavoro, a partire dal […]
L’obbligo di specificare i dati raccolti dalle app su Play Store Lo scorso maggio, Google ha annunciato una novità in tema di tutela degli utenti, in particolare in merito alla sicurezza dei loro dati e della loro privacy. Proprio come succede già sulla Piattaforma di iPhone […]
google agcm
Google nuovamente sanzionata da AGCM L’AGCM, Autorità del Garante della Concorrenza e del Mercato, con il bollettino n. 38 del 27 settembre 2021, ha sanzionato il colosso di Mountain View affermando che alcune clausole all’interno dei Termini di Servizio di Google Drive sono lesive dei diritti […]