La Corte Europea dei Diritti dell’Uomo ha stabilito che l’Italia deve rivedere le norme che consentono all’Agenzia delle Entrate di accedere ai dati bancari dei contribuenti. Con una sentenza pubblicata l’8 gennaio 2026, incentrata sul ricorso di due cittadini italiani, i giudici di Strasburgo hanno infatti rilevato una violazione del diritto alla vita privata, sancito dall’articolo 8 della Convenzione. La condanna non mette in discussione la legittimità della lotta all’evasione, ma critica aspramente il sistema italiano, giudicato carente di garanzie chiare e di controlli effettivi contro l’arbitrarietà, con il risultato di lasciare alle autorità un margine di discrezionalità troppo ampio.
Nello specifico, la vicenda da cui sfocia il verdetto ha avuto origine tra il 2019 e il 2020, quando i due ricorrenti furono informati dalle rispettive banche che l’Agenzia delle Entrate aveva richiesto l’accesso a un’ampia mole di informazioni: saldi, movimenti, cronologia delle transazioni e operazioni finanziarie riconducibili ai loro conti, per periodi compresi tra uno e due anni. La base giuridica interna per questo accesso si fonda sulle disposizioni del DPR 633/1972 (IVA) e del DPR 600/1973 (imposte dirette), con autorizzazione rilasciata da dirigenti dell’Amministrazione. Nel suo esame, la Corte Europea dei Diritti Umani si è concentrata proprio su questo sistema, chiedendosi se esso assicuri regole prevedibili e tutele concrete.
Nella sentenza, la Corte ha spiegato che i dati bancari, pur essendo informazioni finanziarie, costituiscono dati personali sensibili e rientrano nella nozione di vita privata protetta dalla Convenzione. La ricostruzione dei movimenti di conto può infatti descrivere abitudini, relazioni economiche, scelte di vita e attività professionali. Di conseguenza, l’accesso dell’autorità fiscale ai conti rappresenta un’interferenza rispetto a tale diritto. Un’interferenza che può essere giustificata solo se viene prevista da una legge chiara, se persegue un obiettivo legittimo – come il contrasto all’evasione – e se è accompagnata da idonee garanzie contro gli abusi. Sul primo e sul terzo requisito, la disciplina italiana è stata ritenuta dai giudici gravemente carente.
Secondo la Corte, infatti, la normativa italiana consente l’accesso ai dati bancari mediante formule troppo ampie e generiche, legate alla mera verifica della correttezza fiscale. Una base così vaga non delimita in modo sufficiente né le condizioni di attivazione, né i limiti dell’acquisizione, né l’ampiezza del perimetro informativo. «Il quadro giuridico interno non ha garantito ai ricorrenti il livello minimo di protezione a cui avevano diritto ai sensi della Convenzione», scrive la Corte, evidenziando come il potere dell’Amministrazione possa assumere una connotazione esplorativa e difficilmente controllabile.
Un punto critico cruciale individuato dalla sentenza è l’assenza di un obbligo di motivare le richieste di accesso. L’Italia ha invocato diverse circolari interne dell’Agenzia delle Entrate che individuano criteri specifici, ma secondo i giudici della CEDU tali regole non sono sufficientemente «vincolanti» se, nella prassi, l’autorizzazione all’accesso non deve essere motivata. Se manca l’obbligo di motivazione, diventa impossibile verificare se l’Amministrazione abbia effettivamente rispettato i criteri indicati. Inoltre, il sistema manca di un controllo preventivo o successivo effettivo. Il contribuente non può impugnare in maniera autonoma e tempestiva l’autorizzazione all’accesso bancario, potendo contestarla solo quando riceve l’atto impositivo finale, a volte anni dopo. I rimedi interni, come il ricorso al giudice civile o al Garante del contribuente, non sono considerati idonei, in quanto non garantiscono una revisione indipendente, tempestiva e vincolante.
La CEDU qualifica la violazione come sistemica, derivante non da un singolo errore ma dal modo in cui le norme sono scritte e interpretate. Pertanto, ai sensi dell’articolo 46 della Convenzione, l’Italia è chiamata ad adottare misure generali di riforma. L’obiettivo è duplice: introdurre regole più specifiche e precise sui presupposti e sulle condizioni dell’accesso ai dati bancari, obbligando l’Amministrazione a motivare le sue richieste, e garantire un controllo giudiziario o indipendente effettivo, disponibile in tempi ragionevoli e non subordinato all’esito dell’intero accertamento. Il messaggio di Strasburgo, insomma, è chiaro: la lotta all’evasione resta un obiettivo legittimo e prioritario, ma non può prescindere dal rispetto di garanzie procedurali fondamentali.
