L’Istat pubblica annualmente la sua rilevazione sul peso dell’economia non osservata nei conti nazionali. Le ultime statistiche, riferite all’anno del 2023, confermano dati in crescita delle varie componenti rispetto al Pil. Nel complesso l’economia sommersa ammonta a 197.570 miliardi di euro: 108.171 miliardi da sottodichiarazione, 77.174 da lavoro irregolare. I proventi da attività illegali hanno toccato il record di 19.972 miliardi (erano 16.105 nel 2011). Tutto a fronte di un Pil che, sebbene con lentezza, si è affacciato per la prima volta sopra i duemila miliardi di euro dopo il tonfo a 1.670 miliardi registrato nel 2020.
All’accuratezza raggiunta nei conti a livello aggregato non corrisponde, o non ne consegue, un’indagine altrettanto puntuale da parte degli enti statuali sui dati acquisiti, per raggiungere quella che sarebbe l’utilità maggiore per la formazione dei bilanci pubblici: individuare e perseguire i soggetti e le categorie protagonisti di questa colossale fuga di massa dal versamento delle imposte e dagli obblighi contributivi che continua a crescere e prosperare sotto gli occhi degli organi di controllo di anno in anno. Insomma nelle rilevazioni nazionali si può dire il peccato, l’evasione, ma non il nome del peccatore, l’evasore.
Al contrario pare che la principale preoccupazione del nostro Istituto di statistica, sancita dalle normative bipartisan che hanno regolato il settore, sia mettere parrticolare cura sopratutto nel “pseudoniminizzare” i dati raccolti, con raffinate tecniche informatiche, ufficialmente in nome di una mal intesa protezione della privacy certificata dall’Autority “indipendente” preposta. In pratica i ricercatori devono lavorare con gli occhi bendati e le informazioni personali evaporare rapidamente dalle scrivanie e dalle banche dati di appoggio.
Ma vediamo come la stessa Istat ha descritto a una commissione parlamentare il complesso procedimento che ha dovuto mettere in campo a tutela della privacy, perfino degli evasori e della criminalità organizzata.
La crescente integrazione di fonti eterogenee, spiegano i dirigenti dell’Istat, rende centrale il tema della data governance, in particolare per quanto riguarda la gestione dei metadati e delle semantiche, e indispensabile il ricorso a nuovi approcci rigorosi alla tutela dei dati personali in conformità al GDPR.
Una parte rilevante del lavoro di integrazione riguarda la comprensione, il controllo e l’armonizzazione dei metadati, ossia dell’informazione dei dati nella sua interezza. L’Istat sta sviluppando un sistema di metadati basato su un glossario comune, con l’obiettivo di garantire coerenza semantica tra i diversi processi di produzione statistica e documentare in modo ancora più trasparente l’origine e le trasformazioni dei dati.
Come osservato, nell’ambito della strategia dell’Istituto un tema centrale riguarda la politica sul trattamento dei dati personali. In questo contesto è stato sviluppato, tenendo conto degli indirizzi forniti dal Garante per la Privacy, un algoritmo di pseudonimizzazione che consente di trattare in modo adeguato le tipologie di dati in base alla loro caratteristica. Tale algoritmo è pienamente integrato all’interno di un sistema in grado di governare i dati fornendo ai ricercatori dell’Istituto la possibilità di trattarli in modo sicuro.
Tale sistema per la Gestione dei Microdati Amministrativi e statistici, denominato SIGMA, permette di svolgere i trattamenti statistici di dati personali all’interno di Domini Specifici di Integrazione (DSI).
Il DSI è l’ambiente di elaborazione in cui sono presenti solo i dati necessari per conseguire una specifica finalità statistica, per il tempo strettamente necessario e a cui hanno accesso esclusivamente le persone opportunamente autorizzate. La realizzazione di SIGMA è stata perseguita dall’Istat per ottemperare alle disposizioni dell’Autorità Garante per la protezione dei dati personali. I dati sono caricati, organizzati in strutture tabellari e sottoposti a procedure di pseudonimizzazione che si suddividono nelle seguenti fasi:
- separazione delle variabili identificative dalle altre variabili tematiche e dai dati di cui agli art. 9 e 10 del GDPR;
- individuazione delle unità statistiche di base mediante procedure di record linkage di tipo deterministico;
- apposizione del codice pseudonimo alle unità statistiche: ogni unità viene “registrata” e resa individuabile univocamente mediante il codice pseudonimo.
Lo pseudonimo consente di non utilizzare i dati identificativi diretti mantenendo la completa possibilità di eseguire le analisi statistiche necessarie per la finalità da perseguire; la pseudonimizzazione delle variabili è specifica per ogni singolo DSI.
Il sistema SIGMA, inoltre, gestisce il tracciamento e monitoraggio di tutte le richieste di dati; in questo modo si garantisce la data governance in modalità privacy by design e by default.
Il funzionamento del sistema è basato su un catalogo dei dati che contiene tutti i metadati relativi alle fonti statistiche: archivi amministrativi e prodotti statistici. Ogni variabile è classificata sulla base del GDPR e caratterizzata da attributi che ne guidano il rilascio in modo controllato limitandone la visibilità, ove necessario.
Questo complesso sistema, originato dal provvedimento del Garante per la protezione dei dati personali nel 202016, ha ottenuto nel 2025 l’approvazione conclusiva da parte del Garante. In particolare “Il Garante privacy ha dato l’ok alle misure tecniche e organizzative adottate dell’Istituto nazionale di statistica (Istat) per garantire la tutela dei dati personali trattati e l’effettiva applicazione dei principi di protezione dei dati. Tali soluzioni, che hanno determinato un importante cambiamento nella gestione e utilizzazione delle banche dati da parte dell’Istituto, nascono da due provvedimenti prescrittivi del Garante del 2020 e del 2023. Tra le misure allora ingiunte, la necessità di dotarsi di un sistema di pseudonimizzazione dei dati robusto, avanzato e adeguato a tutelare l’enorme mole di dati trattati. L’Istat è infatti il principale depositario del patrimonio informativo del Paese e può acquisire dati personali da tutte le banche dati pubbliche nonché da soggetti privati oltre che dai social media. Attualmente l’Istituto, in ottemperanza agli obblighi di privacy by design e by default, a seguito degli interventi dell’Autorità, ha adottato misure di pseudonimizzazione adeguate a garantire la tutela dei dati trattati e un’effettiva applicazione dei principi di protezione dei dati personali, in particolare quelli di minimizzazione, di limitazione della finalità e della conservazione nei trattamenti necessari per la produzione della statistica ufficiale. […] Mediante la classificazione e mappatura delle fonti e dei dati personali acquisiti, la definizione degli ambiti di utilizzo e l’implementazione di una codifica gerarchica degli pseudonimi, ciascuno con una validità limitata nel tempo e rispetto alla specifica finalità perseguita, l’Istat ha invece potuto mettere in atto un sistema di governance dei dati conforme al Regolamento. La rilevanza delle misure adottate rende oggi l’Istat – a parere dell’Autorità – punto di riferimento per le altre amministrazioni pubbliche che gestiscono grandi banche dati a fini statistici.” 17
Il sistema di pseudonimizzazione sopra descritto ha anche come conseguenza il rafforzamento delle misure di sicurezza informatica, che sono comunque certificate conformi allo standard ISO/IEC 27001 fin dal 2017.
Relativamente alle richieste di rettifica, opposizione e cancellazione, queste sono gestite dal Responsabile della Protezione dei Dati (RPD) dell’ente in conformità al GDPR, tenendo conto che l’Istat opera sulla base di un compito di interesse pubblico.
Anche i dati provenienti dai modelli fiscali sono trattati tramite il sistema SIGMA. Questi sono oggetto, però, di un pre-trattamento al fine di organizzare le informazioni pseudonimizzate nelle unità che costituiscono il modello, ad esempio nei quadri o sezioni, al fine di mantenere i legami tra tali unità senza dover utilizzare identificativi diretti. L’organizzazione che viene ottenuta dal pre-trattamento è unica per tutti i processi statistici che li dovranno elaborare e questo costituisce un grande vantaggio data la complessità delle fonti fiscali.
Analoga applicazione del sistema si ha con le banche dati acquisite tramite la Piattaforma Digitale Nazionale Dati (PDND).
L’Istat in questo contesto è impegnato in un progetto europeo che ha l’obiettivo di sviluppare tecniche di produzione di dati sintetici con l’obiettivo di gestire dati critici in tutta sicurezza e soprattutto in grado di generare dataset per l’addestramento di algoritmi di IA privi di bias. Parallelamente, l’Istituto sta rafforzando il proprio ruolo anche sul piano esterno, promuovendo l’interoperabilità semantica tra le Pubbliche Amministrazioni (PA) e assumendo il ruolo di coordinamento nella definizione e armonizzazione della semantica dei dati. Questo implica una collaborazione stretta con enti produttori di dati amministrativi, al fine di rendere i loro archivi pienamente integrabili nel sistema statistico e anche tra sistemi di dati delle PA. In tal modo, la governance dei dati si estende oltre i confini dell’Istituto e diventa un elemento chiave per il funzionamento dell’intero ecosistema informativo pubblico. In questa prospettiva l’Istat ha messo a disposizione delle PA la sua esperienza di governance dei dati nel progetto di realizzazione del Catalogo Nazionale Dati.
