Il via libera del Garante Privacy alla piattaforma CEREBRO segna una svolta nella gestione dei dati a fini investigativi.

Non solo uno strumento per sottrarre patrimoni alla criminalità organizzata, ma un case study che mostra come trasparenza, DPIA e privacy by design possano convivere con esigenze di sicurezza nazionale.

Un approccio che interessa da vicino anche le aziende che usano piattaforme di screening per clienti e fornitori.

Il contesto: il contrasto patrimoniale alle mafie

Negli ultimi anni, la strategia italiana ed europea di contrasto alle mafie e alla criminalità organizzata ha puntato sempre più sull’aggressione ai patrimoni illeciti.

È in questo contesto che nasce CEREBRO, il nuovo sistema di analisi ed elaborazione dati sviluppato dal Ministero dell’Interno – Dipartimento della Pubblica Sicurezza con l’obiettivo di rafforzare le indagini patrimoniali: individuare beni e risorse ottenuti in modo illecito e procedere con sequestri e confische.

La lotta alla criminalità organizzata passa infatti sempre più dalla tracciabilità economica.

CEREBRO è una piattaforma centralizzata che aggrega dati da:

1. banche dati istituzionali esterne (Catasto, PRA, anagrafe tributaria ecc.);
2. dati inseriti manualmente dagli investigatori.

Il sistema analizza queste informazioni per evidenziare disponibilità patrimoniali sproporzionate rispetto ai redditi dichiarati, tipico indicatore di attività criminali.

È uno strumento potente, che segna un cambio di passo rispetto alle metodologie tradizionali, ma che pone sfide delicate sul piano della protezione dei dati personali.

Il parere del Garante: DPIA, trasparenza e proporzionalità

Il Garante per la protezione dei dati personali ha espresso parere favorevole alla valutazione d’Impatto sulla Protezione dei Dati (DPIA) di CEREBRO, dopo un iter di osservazioni e revisioni congiunte. In definitiva, la piattaforma è stata progettata seguendo i principi di privacy by design e accountability previsti dal GDPR.

Questo approccio dimostra in modo chiaro che la privacy non è un ostacolo, ma un fattore abilitante per sistemi ad alto rischio.

Di seguito i punti chiave del parere:

1. Chiarezza sul “web scraping”: il termine, nel caso di CEREBRO, non indica raccolta indiscriminata di dati online, ma di estrapolazione mirata da database istituzionali, con accessi controllati e, “pertanto non dà luogo a una raccolta di dati personali massiva e indiscriminata, c.d. ‘a strascico’, dalla rete Web”.
2. Informativa pubblica: l’informativa “ai sensi dell’art. 10, comma 1, del d.lgs. 18 maggio 2018, n. 51, prima di procedere al trattamento sarà messa a disposizione degli interessati mediante la pubblicazione nel sito istituzionale della Polizia di Stato, sezione Privacy”. I cittadini potranno consultare direttamente l’informativa per finalità e diritti in materia di trattamento.
3. Diritti garantiti: accesso, rettifica e cancellazione dei dati, compatibilmente con le esigenze investigative.
4. Misure di sicurezza avanzate: governance chiara, gestione dei log, segregazione degli accessi.

Piattaforme pubbliche e strumenti privati: le analogie

Il caso CEREBRO offre spunti che vanno oltre il settore pubblico. Sempre più aziende, in particolare nei settori bancario, lusso, tech, assicurativo, logistica, utilizzano piattaforme per monitorare partner e clienti:

1. KYC (Know Your Customer) per verificare l’identità e il profilo di rischio.
2. AML (Anti-Money Laundering) per individuare potenziali riciclaggi.
3. Liste sanzioni internazionali (ONU, UE, OFAC) per evitare rapporti con soggetti coinvolti in attività illecite o provenienti da Paesi sottoposti a restrizioni.

La logica è simile: anche i sistemi aziendali aggregano dati da fonti multiple e utilizzano algoritmi di scoring per individuare anomalie o rischi.

I sopra citati strumenti aziendali, pur avendo finalità diverse rispetto a CEREBRO, funzionano quindi in modo analogo ed operano con una logica di prevenzione del rischio (investigativa per lo Stato, reputazionale e normativa per le imprese).

La differenza sta principalmente nella base giuridica e nelle modalità di governance.

Differenze tra pubblico e privato

Nonostante le similitudini tecnologiche, il quadro normativo e gli obiettivi divergono:

Questa tabella evidenzia come il settore pubblico, a differenza del privato, operi in deroga ad alcune regole (es. limitazione dei diritti), ma il principio di accountability sia comune: ogni trattamento deve essere documentato, proporzionato, giustificato.

Web scraping, AI Act e nuovi scenari

Il caso CEREBRO contribuisce a ridefinire il concetto di web scraping: da pratica percepita come invasiva a strumento mirato e regolamentato.

Questa visione è utile anche per le imprese che usano tecniche di:

1. Screening reputazionale online.
2. Analisi di big data per il rischio di credito.
3. Algoritmi di scoring automatizzato.

Con l’arrivo dell’AI Act europeo, che classificherà i sistemi di IA in base al rischio, sarà necessario: Identificare sistemi ad alto rischio (es. modelli predittivi usati per concedere credito o valutare clienti); implementare trasparenza algoritmica (audit, spiegabilità); rafforzare DPIA e documentazione di conformità.

In questo senso, CEREBRO può essere visto come un benchmark istituzionale per approcciare queste sfide.

Implicazioni per il settore privato: compliance come asset strategico

Le aziende devono guardare al caso CEREBRO come a una lezione di progettazione responsabile:

1. Gli strumenti di compliance non devono essere solo “obblighi normativi”, ma asset di fiducia per clienti e partner.
2. La gestione del rischio geopolitico (es. sanzioni verso la Russia) richiede piattaforme integrate, trasparenti e sicure.
3. Il principio di privacy by design consente di sviluppare soluzioni sofisticate senza temere interventi del Garante.

Privacy e sicurezza: da nemiche ad alleate

Il dibattito pubblico tende a contrapporre protezione dei dati e sicurezza. CEREBRO dimostra il contrario:

1. La privacy legittima strumenti investigativi invasivi, garantendo controlli e accountability.
2. La trasparenza non indebolisce l’azione investigativa: aumenta la fiducia e riduce i rischi di abusi.
3. Il settore privato può replicare questa impostazione, rafforzando la fiducia del mercato.

Possibili rischi e aspetti critici

Sistemi come CEREBRO non sono tuttavia esenti da aspetti critici o rischi. Ecco quali.

Accesso non proporzionale a dati sensibili e giudiziari

Anche se la DPIA di CEREBRO ribadisce la natura mirata della raccolta, resta il rischio che il sistema possa accedere a categorie particolarmente delicate di dati — come quelli relativi a salute, giudiziari o familiari, in modo non proporzionale.

Il GDPR (art. 10) impone condizioni rigorose per il trattamento di dati penali o relativi a condanne.

Falsi positivi e stigmatizzazione

Sistemi automatizzati di scoring patrimoniale possono generare alert erronei, suggerendo disposizioni patrimoniali sproporzionate anche quando non vi è fondamento.

Questo può infiammare indagini inappropriate o danneggiare ingiustamente persone.

Tali rischi sono ben documentati nel contesto della “digital forensics” e del profiling forense.

Governance e audit insufficienti

L’efficacia delle misure di sicurezza (come gestione dei log, separazione dei ruoli, tracciabilità delle operazioni) dipende dalla loro corretta implementazione.

Se i meccanismi di oversight, audit interni o accesso ai log risultano carenti, cresce il rischio di abusi o di manipolazione dei dati senza rilevamenti.

Mancata informativa/scarsa trasparenza reale

La DPIA prevede la pubblicazione di un’informativa sul sito della Polizia. Tuttavia, se l’informativa si limitasse a un testo generico o poco accessibile, i cittadini potrebbero restare inconsapevoli dei loro diritti o delle modalità di esercizio (soprattutto in situazioni investigative).

La trasparenza è efficace solo se chiaramente comunicata agli interessati.

Sopruso “per delega tecnologica”

Affidarsi a sistemi automatizzati può portare a una “de-responsabilizzazione” degli operatori, i quali possono tacere decisioni rilevanti invocando l’algoritmo.

Il rischio di decisioni autoriferite e non verificabili è una criticità spesso evidenziata riguardo all’utilizzo dell’IA in ambito giudiziario.

Limitazioni nei diritti degli interessati

Il sistema limita accesso, rettifica e cancellazione compatibilmente con esigenze investigative. Tuttavia, se i criteri per questa compatibilità non sono trasparenti, potrebbe instaurarsi una zona opaca in cui l’interessato perde strumenti di tutela.

Il bilanciamento tra sicurezza e diritti fondamentali impone limiti chiari, come richiesto dalla Corte di Giustizia (art. 52 CDFUE).

Mancanza di supervisione giudiziaria preventiva

Una critica giurisdizionale classica potrebbe riguardare l’assenza di controllo esterno o giudiziario preventivo prima dell’attivazione di indagini tramite sistemi così potenti.

Garanzie come l’autorizzazione da parte di un giudice potrebbero mitigare rischi eccessivi.

Fail di minimizzazione dei dati

Sebbene la DPIA dichiari misure di minimizzazione, resta la domanda: quali dati vengono effettivamente conservati, per quanto tempo, e con quali criteri vengono eliminati?

L’assenza di durate chiare o procedure di cancellazione automatica rappresenta una criticità rilevante.

Solidarietà pubblica e diritto alla privacy dei familiari

Spesso nelle indagini patrimoniali si estende l’attenzione a familiari o soci per ricostruire patrimoni “occulti”. Se non tarato con attenzione, questo può violare la privacy di terzi.

Tali pratiche richiedono un forte sostrato normativo e un’approfondita valutazione etica.

Verso un ecosistema integrato pubblico-privato

Il via libera del Garante a CEREBRO non è solo una notizia di cronaca istituzionale: è un segnale politico e tecnologico. Dimostra che tecnologia e privacy possono evolvere insieme, anche in contesti di sicurezza nazionale.

Le aziende dovrebbero interpretare questo caso come un benchmark per i propri sistemi di analisi dati, anticipando trend normativi come l’AI Act e la revisione della normativa AML.

In futuro, la collaborazione tra pubblico e privato nella gestione dei dati sarà cruciale: CEREBRO rappresenta già oggi un laboratorio di policy digitale, utile per chiunque operi nel campo della compliance, dell’investigazione economica e della gestione dei rischi globali.

I potenziali punti critici (dall’accesso esteso ai dati sensibili, ai rischi di falsi positivi, dalla necessità di audit stringenti alla trasparenza reale verso i cittadini) dimostrano che si tratta di una sfida tecnica, ma anche etica e giuridica.

Le imprese, così come le istituzioni, devono senz’altro attrezzarsi per prevenire derive di “sorveglianza per delega tecnologica”, rafforzando il ruolo umano nella supervisione e nella decisione finale, come già suggerisce l’AI Act.

Un ecosistema integrato pubblico-privato, che unisca strumenti tecnologici sofisticati e una governance chiara, è quindi possibile solo attraverso:

1. trasparenza radicale nelle modalità di raccolta e trattamento dei dati;
2. audit e accountability continui, con organismi di controllo indipendenti;
3. formazione e responsabilità degli operatori;
4. coinvolgimento del cittadino, che deve restare consapevole e tutelato.

L’iter di approvazione di CEREBRO, le cautele richieste dal Garante e i potenziali punti critici diventano un caso di studio prezioso per progettare sistemi tecnologici che non rinuncino ai diritti fondamentali, anzi li rafforzino.

È su questa strada, fatta di innovazione ma anche di limiti e responsabilità, che pubblico e privato potranno costruire un ecosistema di fiducia digitale.