Cerebro, come funziona il sistema per le indagini patrimoniali

Inquadramento di Cerebro: contesto normativo e finalità operative

Per comprendere la natura e la portata del sistema cerebro, è indispensabile collocarlo correttamente nel suo contesto istituzionale e giuridico. L’analisi dimostra che la sua funzione si inserisce nell’ambito della pubblica sicurezza e della lotta alla criminalità, un dominio nettamente distinto da quello del controllo fiscale.

Titolare del trattamento e missione istituzionale

Il sistema Cerebro è una piattaforma software centralizzata progettata per supportare le “indagini patrimoniali” condotte dalla Direzione Centrale Anticrimine (DAC) della Polizia di Stato e dalle Questure territoriali. La DAC è una struttura di vertice del Dipartimento della Pubblica Sicurezza, incardinata nel Ministero dell’Interno. La sua missione istituzionale è la pianificazione e il coordinamento delle strategie di contrasto alla criminalità comune e organizzata, con un focus specifico sulle misure di prevenzione, incluse quelle finalizzate al sequestro e alla confisca dei beni illecitamente accumulati.

Diversi documenti ufficiali – tra cui bandi di gara e determine a contrarre – collegano in modo inequivocabile il progetto Cerebro alla Direzione Centrale Anticrimine. Questo legame è stato ulteriormente confermato dal provvedimento del 21 ottobre 2023, con il quale è stata formalmente istituita, presso la II Divisione del Servizio Centrale Anticrimine, un’unità operativa dedicata alla gestione e allo sviluppo del software Cerebro 2. Questa collocazione istituzionale non è un mero dettaglio amministrativo, ma il fondamento di una distinzione giuridica cruciale.

La finalità della Polizia di Stato è la tutela della sicurezza pubblica e la prevenzione dei reati. Al contrario, la missione dell’Agenzia delle Entrate è di natura squisitamente fiscale: assicurare l’adempimento degli obblighi tributari e recuperare le imposte evase. Questa divergenza di scopi determina la base giuridica dell’azione, le tipologie di dati accessibili, le procedure da seguire e, soprattutto, le conseguenze per il cittadino.

L’obiettivo di un’indagine condotta tramite Cerebro non è l’emissione di un avviso di accertamento fiscale, ma la raccolta di elementi probatori da sottoporre all’Autorità Giudiziaria per l’applicazione di misure di prevenzione patrimoniali, come il sequestro e la confisca, normate principalmente dal Codice Antimafia.

Gli obiettivi di Cerebro

La funzione primaria di Cerebro è esplicitamente definita come “il monitoraggio e l’aggressione di patrimoni illeciti”. Il sistema è stato concepito per individuare e sottrarre alla criminalità, comune e organizzata, le risorse ottenute illegalmente.

L’approccio metodologico si basa sull’individuazione di una “sproporzione” significativa tra la situazione patrimoniale e finanziaria di un soggetto (persona fisica o giuridica) e le sue fonti di reddito lecitamente dichiarate. Questa analisi permette agli investigatori di far emergere anomalie che possono celare l’accumulazione di ricchezza di provenienza criminale, rendendo Cerebro uno strumento imprescindibile per le attività di asset recovery (recupero dei beni).

La metodologia basata sulla ricerca di una sproporzione tra reddito e patrimonio è verosimilmente la causa della confusione con strumenti fiscali come il Redditometro, che opera secondo una logica analitica simile. Tuttavia, le conseguenze giuridiche sono radicalmente diverse. Il Redditometro, disciplinato dall’art. 38 del D.P.R. n. 600/1973, si fonda su una presunzione legale di maggior reddito e conduce all’emissione di un atto amministrativo, l’avviso di accertamento, impugnabile dinanzi alle Commissioni Tributarie. L’analisi di sproporzione effettuata da cerebro, invece, costituisce un input investigativo per l’attivazione delle misure di prevenzione patrimoniali, disciplinate dal D.Lgs. 159/2011 (Codice Antimafia). L’esito non è una richiesta di pagamento di imposte, ma l’avvio di un procedimento giudiziario che può culminare nel sequestro e nella confisca definitiva dei beni. Sebbene il grilletto analitico (la sproporzione) sia simile, esso innesca due apparati giuridici completamente distinti: uno amministrativo-fiscale, l’altro giudiziario-preventivo.

Finanziamento del progetto Cerebro

L’attuale fase di sviluppo del sistema è identificata come “Progetto 1.1.DA.ISF – Cerebro 2”.

La dicitura “Upgrade dei sistemi evoluti” conferma che non si tratta di un’iniziativa ex novo, ma dell’evoluzione di un sistema Cerebro già operativo presso la Direzione Centrale Anticrimine.

Questo potenziamento è finanziato con risorse del Fondo Sicurezza Interna (Internal Security Fund – ISF) 2021–2027 dell’Unione Europea, con un cofinanziamento comunitario del 50%.

L’inserimento del progetto nel quadro di un fondo europeo per la sicurezza interna colloca Cerebro all’interno di una più ampia strategia comunitaria volta a rafforzare le capacità delle forze di polizia nazionali nel contrasto alla criminalità grave e transfrontaliera, con un’attenzione particolare al recupero dei beni illeciti, in linea con le priorità di organismi come Europol e Interpol.

L’acquisizione dei servizi necessari per l’upgrade, che includono manutenzione, conduzione applicativa, “supporto architetturale/cyber ed accreditamento”, avviene tramite adesione a un Accordo Quadro Consip, con un Raggruppamento Temporaneo di Imprese (RTI) guidato da Telecom Italia.

La natura di tali servizi indica un’escalation tecnologica significativa, mirata a rendere il sistema più potente, scalabile e sicuro, in grado di gestire volumi di dati crescenti e analisi più sofisticate.

Questa evoluzione rende ancora più cruciale il ruolo della supervisione legale e della protezione dei dati, analizzato più avanti.

Architettura informativa e funzionamento tecnico di Cerebro

Il valore operativo di Cerebro risiede nella sua capacità di aggregare e analizzare informazioni provenienti da fonti eterogenee. Il provvedimento dell’Autorità Garante per la Protezione dei Dati Personali offre una visione dettagliata delle sue modalità di funzionamento.

Le fonti dati: interconnessione di banche dati istituzionali

Cerebro opera attraverso la raccolta e l’analisi di dati provenienti da specifiche “fonti istituzionali ‘esterne’”.

Il sistema è progettato per accedere telematicamente a pubblici registri e banche dati di altri soggetti istituzionali, ai quali la Polizia di Stato è già legittimata ad accedere in base a normative di settore o a convenzioni specifiche.

Numerose fonti giornalistiche confermano che il software incrocia dati di natura fiscale, catastale e bancaria. Più in dettaglio, il sistema tratta un’ampia gamma di informazioni, tra cui dati anagrafici, giudiziari, bancari e fiscali, relativi sia a persone fisiche che a persone giuridiche ed enti.

L’architettura di Cerebro non sembra essere quella di un’unica, gigantesca banca dati creata da zero.

Piuttosto, esso agisce come un livello di aggregazione e analisi che si sovrappone a banche dati istituzionali preesistenti e tradizionalmente isolate (come l’Anagrafe Tributaria, il Catasto, il Centro Elaborazione Dati Interforze – ced, ecc.).

La sua potenza deriva dalla capacità di interrogare queste fonti eterogenee in modo unificato, correlando le informazioni relative a un medesimo soggetto d’interesse.

Di fatto, viene a crearsi una “super-banca dati” virtuale a uso investigativo, che fornisce un quadro patrimoniale olistico altrimenti ottenibile solo attraverso richieste separate e dispendiose in termini di tempo a molteplici amministrazioni. La sfida giuridica e tecnica principale risiede nel garantire la legittimità dell’accesso a ciascuna fonte e l’accuratezza nel processo di collegamento dei dati (entity resolution), poiché un errore in questa fase potrebbe generare un profilo del tutto falso, con conseguenze legali gravissime per l’individuo.

Metodologie di acquisizione dati: cooperazione applicativa, web scraping e inserimento manuale

Il provvedimento del Garante Privacy ha svelato le tre distinte modalità con cui Cerebro acquisisce i dati:

• Acquisizione automatizzata tramite Web service: questa modalità presuppone una cooperazione applicativa strutturata, basata su interfacce di programmazione (API), tra il sistema Cerebro e le altre banche dati istituzionali, garantendo uno scambio di dati efficiente e controllato.
• Acquisizione automatizzata tramite Web scraping: questa tecnica consiste nell’estrazione automatizzata di dati da portali web istituzionali che non mettono a disposizione api formali. Il software simula la navigazione umana per raccogliere le informazioni di interesse.
• Importazione manuale: consente agli operatori di polizia, preventivamente autorizzati e abilitati, di inserire manualmente nel sistema dati strutturati (anagrafici, giudiziari, bancari, ecc.) pertinenti a uno specifico “fascicolo digitale d’indagine”, provenienti da fonti non automatizzabili (es. documenti cartacei, informative di intelligence).

La menzione esplicita e l’uso del web scraping con estrazione mirata e non raccolta massiva da parte del Garante sono elementi di notevole rilevanza giuridica. Se da un lato l’Autorità ha assunto una posizione molto critica verso lo scraping indiscriminato a fini commerciali, la sua approvazione in questo contesto dimostra come la liceità di una tecnica di trattamento non sia intrinseca alla tecnologia stessa, ma dipenda in modo cruciale dal soggetto che la utilizza (un’autorità pubblica), dalla finalità perseguita (prevenzione e repressione dei reati) e dal quadro di garanzie in cui si inserisce (la DPIA approvata).

Ciò costituisce un importante precedente, legittimando un metodo di raccolta dati tecnologicamente assertivo per finalità di sicurezza dello Stato e tracciando una netta linea di demarcazione tra l’uso pubblico legittimo e l’uso privato illecito.

Il Garante ha ritenuto conforme la soluzione, a condizione del rispetto delle misure indicate: proporzionalità, tracciamento accessi, governance e informativa.

Il nucleo analitico: il “calcolo sperequativo” e la generazione di reportistica

Il cuore funzionale di Cerebro risiede nella sua capacità di elaborare i dati acquisiti applicando “modelli di ‘calcolo sperequativo’”.

Questa analisi algoritmica viene condotta sui beni posseduti e sui movimenti finanziari riconducibili al soggetto d’interesse.

L’output di questo processo è una “reportistica di indagine” specifica, che ha lo scopo di evidenziare agli investigatori le eventuali disponibilità finanziarie e patrimoniali sproporzionate e, pertanto, potenzialmente riconducibili ad attività illecite.

L’utilizzo di “modelli di calcolo” implica l’impiego di algoritmi per definire e quantificare la soglia di “sproporzione”.

La logica interna di questi modelli non è di dominio pubblico, creando un potenziale scenario di “scatola nera” (black box), in cui un investigatore riceve un’allerta o un report senza una piena trasparenza sul ragionamento algoritmico che lo ha generato.

Sebbene il report di Cerebro costituisca solo uno strumento di supporto all’indagine e non una prova definitiva né un atto decisionale, esso ha un peso determinante nell’orientare l’attività investigativa.

Ne consegue che, in un eventuale procedimento giudiziario, la difesa avrebbe solidi argomenti per contestare non solo l’accuratezza dei dati di input, ma anche la logica stessa del “calcolo sperequativo”.

La valutazione dell’ammissibilità e del valore probatorio di un report generato da un algoritmo complesso e non trasparente rappresenterà una delle nuove frontiere del contraddittorio processuale, richiedendo al giudice un vaglio critico e non una supina accettazione dei risultati tecnologici.

Il vaglio del Garante Privacy su Cerebro

L’operatività di un sistema così pervasivo come Cerebro è stata subordinata a un rigoroso processo di valutazione da parte dell’Autorità Garante per la Protezione dei Dati Personali. Questo passaggio è stato fondamentale per legittimare lo strumento, assicurando che le esigenze di sicurezza pubblica fossero bilanciate con la tutela dei diritti fondamentali dei cittadini.

La valutazione è partita dalla situazione esistente: Cerebro individua anomalie patrimoniali per finalità di sicurezza pubblica e misure di prevenzione decise dal tribunale, mentre l’Agenzia delle Entrate usa invece strumenti fiscali (artt. 32 e 38 DPR 600/1973) per accertare e riscuotere imposte.

La Valutazione d’Impatto sulla Protezione dei Dati (DPIA) come presupposto necessario

Il parere favorevole del Garante è giunto al termine di un’attenta analisi della Valutazione d’Impatto sulla Protezione dei Dati (DPIA) presentata dal Ministero dell’Interno.

La DPIA è un adempimento obbligatorio previsto dal Regolamento Generale sulla Protezione dei Dati (GDPR) per tutti i trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il fatto che il sistema sia stato ritenuto conforme alla normativa sulla privacy indica il superamento di questo esame.

Questo processo non rappresenta un mero passaggio burocratico, ma incarna il principio di accountability (responsabilizzazione) sancito dal GDPR.

Esso obbliga il titolare del trattamento (la DAC) a identificare, analizzare e mitigare proattivamente i rischi per la privacy prima dell’implementazione o dell’aggiornamento del sistema.

Il parere positivo del Garante attesta che la DAC ha dimostrato in modo convincente di aver considerato i potenziali rischi (es. profilazione errata, violazione dei dati, uso improprio delle informazioni) e di aver implementato misure tecniche e organizzative adeguate a ridurli a un livello accettabile.

L’approvazione non è quindi un’autorizzazione in bianco alla sorveglianza, ma la validazione di un processo documentato di valutazione e mitigazione del rischio, che costituisce un modello procedurale per lo sviluppo di altre tecnologie ad alto impatto nel settore della sicurezza.

Le garanzie imposte: misure di sicurezza, tracciabilità e conservazione dei dati

L’approvazione del Garante è stata condizionata all’adozione di specifiche e robuste garanzie.

Tra queste figurano:

• le misure tecniche e organizzative per garantire la sicurezza dei dati,
• la piena tracciabilità di ogni accesso e operazione effettuata sul sistema (attraverso file di log inalterabili),
• la definizione di precisi periodi di conservazione dei dati, per evitare che le informazioni personali siano archiviate a tempo indeterminato.

L’accesso al sistema è rigorosamente limitato a “personale della Polizia di Stato, preventivamente autorizzato e abilitato” e ogni attività deve essere condotta nell’ambito di uno specifico “fascicolo digitale d’indagine”.

In questo contesto emerge una tensione intrinseca tra le necessità investigative e il principio di minimizzazione dei dati. Le indagini patrimoniali, per loro natura, richiedono una visione ampia e dettagliata della vita economica di un soggetto per poter identificare una sproporzione.

Il Garante sembra aver risolto questa tensione non limitando a priori la raccolta dei dati, ma focalizzandosi sul controllo rigoroso dell’accesso e sulla stretta limitazione della finalità.

Sebbene un’enorme mole di dati sia potenzialmente accessibile al sistema, questa può essere interrogata e analizzata solo nei confini di un’indagine formalmente autorizzata.

La tracciabilità completa degli accessi funge da potente deterrente contro abusi, come le cosiddette “indagini a strascico” (fishing expeditions), mentre i limiti di conservazione assicurano la cancellazione dei dati non più necessari.

Questo approccio rappresenta un compromesso pragmatico che sposta il focus della minimizzazione dalla “raccolta” all’”utilizzo”, riconoscendo le esigenze delle indagini complesse pur mantenendo solide garanzie contro gli abusi.

I diritti dell’interessato: diritto all’informativa, accesso, rettifica e cancellazione

Come condizione essenziale per il parere positivo, il Garante ha preteso che fossero implementate misure idonee a garantire l’esercizio dei diritti degli interessati, come previsto dal GDPR.

Ciò include esplicitamente la predisposizione di un’”informativa dedicata”, che sarà pubblicata sul portale web della Polizia di Stato, e la garanzia dei diritti di accesso, rettifica e cancellazione dei dati.

È tuttavia fondamentale analizzare questo punto con la dovuta profondità giuridica.

Sebbene il GDPR sancisca questi diritti, l’articolo 23 dello stesso Regolamento consente agli Stati membri di limitarne la portata per salvaguardare esigenze di sicurezza nazionale e di prevenzione, indagine, accertamento e perseguimento di reati.

È pertanto altamente improbabile che un soggetto sottoposto a un’indagine patrimoniale attiva possa esercitare con successo il diritto di accedere al proprio fascicolo su Cerebro o di chiederne la cancellazione, poiché ciò vanificherebbe l’intera attività investigativa.

Di conseguenza, pur essendo formalmente garantiti, l’esercizio di tali diritti sarà quasi certamente differito a un momento successivo alla conclusione delle indagini e di eventuali procedimenti giudiziari.

L’informativa pubblicata sul sito della Polizia sarà, di carattere generale, descrivente l’esistenza e le finalità del sistema, e non una notifica specifica inviata a ogni individuo oggetto di attenzione.

Questa sfumatura è cruciale per comprendere la reale applicazione dei diritti alla protezione dei dati nel contesto delle attività di polizia.

L’informativa è prevista in forma pubblica sul sito della Polizia di Stato (sezione “Privacy”), ferme le limitazioni ai diritti nei casi e nei tempi consentiti dall’art. 23 GDPR per esigenze investigative.

Analisi comparativa: strumenti di indagine a confronto

Per rispondere in modo esauriente alla domanda originaria, è essenziale confrontare sistematicamente Cerebro con gli strumenti a disposizione dell’Agenzia delle Entrate, evidenziandone le differenze strutturali.

L’Agenzia delle Entrate: il redditometro e le indagini bancarie

Gli strumenti principali dell’Amministrazione Finanziaria per il contrasto all’evasione basato su accertamenti sintetici sono il cosiddetto Redditometro e le indagini bancarie.

Il Redditometro, o accertamento sintetico, è disciplinato dall’art. 38 del D.P.R. n. 600/1973, che consente all’Agenzia delle Entrate di determinare il reddito complessivo del contribuente basandosi su elementi indicativi di capacità di spesa (es. acquisto di auto, immobili, beni di lusso).

Se il reddito accertato sinteticamente eccede di almeno un quinto quello dichiarato, l’Ufficio può procedere alla rettifica della dichiarazione.

Le indagini bancarie, previste dall’art. 32 dello stesso D.P.R., autorizzano l’Agenzia delle Entrate e la Guardia di Finanza ad accedere ai dati relativi a conti correnti, libretti di deposito, conti titoli e altre operazioni finanziarie. Tali indagini si fondano su una presunzione legale: i versamenti non giustificati sui conti correnti sono considerati ricavi o compensi non dichiarati.

L’onere di fornire la prova contraria (prova contraria), dimostrando che le somme non costituiscono reddito imponibile, ricade interamente sul contribuente.

Distinzioni fondamentali: base giuridica, finalità e conseguenze procedurali

Il confronto tra Cerebro e gli strumenti fiscali rivela differenze sostanziali che vanno ben oltre il semplice ente utilizzatore. La base giuridica è il primo elemento di netta demarcazione. Cerebro opera nel quadro della normativa di pubblica sicurezza e del Codice Antimafia (D.Lgs. 159/2011), mentre il Redditometro e le indagini bancarie si fondano esclusivamente sulla legislazione fiscale (D.P.R. 600/1973).

La finalità è conseguentemente diversa. L’obiettivo di Cerebro è preventivo e repressivo in ambito criminale: colpire la linfa economica delle organizzazioni criminali e dei soggetti socialmente pericolosi. L’obiettivo dell’Agenzia delle Entrate è invece l’accertamento e la riscossione dei tributi evasi.

Infine, gli esiti procedurali sono divergenti. Un’analisi positiva di Cerebro si traduce in una proposta all’Autorità Giudiziaria per l’applicazione di misure di prevenzione patrimoniali (sequestro e confisca), decise da un tribunale specializzato. Un accertamento basato sul Redditometro o sulle indagini bancarie, invece, porta all’emissione di un atto amministrativo (l’avviso di accertamento), che il contribuente può contestare dinanzi a un giudice speciale, la Corte di giustizia tributaria. L’azione dello Stato nel primo caso è di natura giudiziaria e pre-penale, volta a neutralizzare la pericolosità economica di un soggetto; nel secondo caso, è di natura amministrativa, volta a recuperare quanto dovuto all’erario.

Prospettive future

L’analisi del sistema Cerebro e il suo confronto con gli strumenti fiscali offrono spunti di riflessione cruciali sull’evoluzione degli apparati di controllo dello Stato nell’era digitale.

Per i professionisti del diritto e della consulenza finanziaria, l’avvento di piattaforme come Cerebro impone un cambiamento di paradigma nelle strategie difensive.

Non è più sufficiente contestare la qualificazione giuridica di un fatto, ma diventa essenziale affrontare la dimensione dei dati:

• la loro provenienza,
• la loro accuratezza,
• la correttezza dei processi di aggregazione e, soprattutto,
• la logica degli algoritmi di analisi che li interpretano.

La difesa in un procedimento di prevenzione patrimoniale originato da un report di Cerebro dovrà necessariamente includere competenze di analisi dei dati e di informatica giuridica. Per i cittadini, l’esistenza di tali sistemi evidenzia la crescente capacità dello Stato di costruire profili digitali complessi e onnicomprensivi, sia per finalità di sicurezza che per finalità fiscali. In questo scenario, il ruolo di un’autorità di controllo indipendente come il Garante per la Protezione dei Dati Personali si rivela non solo importante, ma fondamentale come presidio di legalità e di tutela dei diritti fondamentali.

In una prospettiva più ampia, Cerebro e le moderne iterazioni degli strumenti di accertamento fiscale sono emblematici di un passaggio verso una governance algoritmica, in cui il potere statale si esercita sempre più attraverso la raccolta massiva e l’analisi automatizzata di dati personali.

Questa tendenza solleva una sfida continua per l’ordinamento giuridico: come dotare le forze di polizia e le amministrazioni finanziarie di strumenti efficaci per affrontare le sfide della criminalità e dell’evasione nell’era digitale, senza al contempo erodere i principi cardine dello Stato di diritto, quali il giusto processo, la trasparenza e la presunzione di non colpevolezza.