Introduzione

Il 2 dicembre 2025 la Corte Europea dei diritti umani ha deliberato  sul caso Ferrieri e Bonassisa c. Italia, pronunciando una una sentenza  in linea con le sentenze su altri due casi simili contro l’Italia  - sentenze Italgomme Pneumatici s.r.l. e altri c. Italia (6 febbraio 2025) e Agrisud 2014 s.r.l. semplificata e altri c. Italia (11 dicembre 2025) - destinata ad incidere sul sistema italiano di accertamento fiscale. La sentenza, resa pubblica l’8 gennaio 2026, riguarda la compatibilità della normativa italiana che disciplina l’accesso ai dati bancari dei contribuenti - finalizzato alla verifica dell’adempimento degli obblighi fiscali - con l’Articolo 8 della Convenzione europea dei diritti umani, che garantisce il rispetto della vita privata.

La Corte ha ritenuto che il quadro normativo italiano non soddisfi i requisiti del suddetto articolo in quanto conferisce alle autorità fiscali un potere di accesso ai dati bancari caratterizzato da ampia discrezionalità e privo di limiti sufficientemente chiari, senza assicurare un controllo indipendente preventivo né un rimedio giurisdizionale effettivo successivo.

I due ricorrenti, che avevano ricevuto in momenti diversi - Ferrieri nel 2019 e Bonassisa nel 2020 - la notifica , da parte delle rispettive banche della richiesta di accesso ai loro dati bancari da parte dell’Agenzia delle Entrate, hanno adito la Corte  lamentando la violazione del diritto al rispetto della vita privata garantito dall’Articolo 8.

Le questioni giuridiche sollevate

I ricorrenti hanno contestato l’ampio margine di discrezionalità riconosciuto alle autorità nazionali e l’assenza di adeguate garanzie procedurali, in particolare la mancanza di controlli giudiziari o indipendenti sulle misure adottate, sia preventivi sia successivi.

Ai sensi dell’Articolo 35 della Convenzione, uno dei requisiti di ammissibilità di un ricorso consiste nell’aver esperito tutti i rimedi interni disponibili, in conformità con una regola consolidata del diritto internazionale. Tuttavia, secondo la giurisprudenza di diversi organi di tutela dei diritti umani in materia di comunicazioni individuali, tali rimedi devono risultare non solo formalmente disponibili, ma anche concretamente efficaci.

Il Governo italiano ha sollevato un’eccezione preliminare sostenendo che i ricorrenti non avessero esperito i rimedi interni previsti. I ricorrenti hanno invece contestato l’effettiva efficacia degli strumenti giurisdizionali disponibili, evidenziando l’incertezza circa la disponibilità di strumenti giurisdizionali di tale natura. Sulla questione dell’ammissibilità la Corte ha ritenuto opportuno esaminare congiuntamente l’ammissibilità e il merito del ricorso e, non essendo la questione manifestamente infondata, lo ha dichiarato ammissibile.

Con riferimento al merito, la Corte aveva già affermato in precedenti pronunce — tra cui G.S.B. v. Switzerland (n. 28601/11, § 93, 22 dicembre 2015), M.N. and Others v. San Marino (n. 28005/12, § 51, 7 luglio 2015), Brito Ferrinho Bexiga Villa-Nova v. Portugal (n. 69436/10, § 43, 1° dicembre 2015) e Samoylova v. Russia (n. 49108/11, § 62, 14 dicembre 2021) — che le informazioni bancarie rilevanti per le autorità fiscali costituiscono dati personali. Ciò vale indipendentemente dalla loro eventuale qualificazione come dati sensibili e dalla circostanza che possano essere considerate, ai sensi del diritto interno, informazioni di pubblico interesse. Ne consegue che l’accesso ai dati bancari integra un’ingerenza nel diritto al rispetto della vita privata. 

Tuttavia, tale ingerenza non comporta automaticamente una violazione dell’Articolo 8 CEDU. La sua compatibilità con la disposizione convenzionale dipende dal rispetto dei requisiti stabiliti dal paragrafo 2 della stessa, il quale stabilisce le condizioni affinché possa esservi interferenza da parte di un’autorità pubblica nell’esercizio del diritto tutelato dall’articolo 8. In particolare, essa deve essere conforme alla legge e giustificata dalla tutela di interessi di una società democratica quali la sicurezza nazionale, la pubblica sicurezza, il benessere economico del Paese, la prevenzione dei disordini o dei reati, la protezione della salute o della morale, nonché la salvaguardia dei diritti e delle libertà altrui. Inoltre, poiché tali informazioni non riguardano dati di natura particolarmente sensibile, la Corte ha affermato che gli Stati godono di un ampio margine di discrezionalità nella disciplina e nel trattamento dei dati finanziari.

Le questioni sollevate dai due ricorrenti riguardavano, in particolare: la presunta incompatibilità della normativa italiana con i principi di legalità e di rule of law; l’assenza di un meccanismo di revisione preventivo delle misure adottate da parte di un’autorità indipendente; l’eccessiva discrezionalità attribuita alle autorità finanziarie e, nel caso di specie, il mancato rispetto dei criteri previsti dalla legge nell’accesso ai dati bancari; l’assenza di adeguate forme di controllo ex post; nonché la mancata notifica dell’autorizzazione all’accesso ai loro dati, circostanza che li avrebbe privati della possibilità di attivare forme di tutela preventive.

Il Governo italiano ha contestato la doglianza relativa all’asserita assenza di una previa notifica, sostenendo che le ragioni poste a fondamento delle misure in questione fossero comunque prevedibili. Ha inoltre evidenziato che l’impiego di strumenti informatici per la presentazione delle richieste di accesso ai dati bancari consentirebbe di assicurare la tracciabilità e il controllo dell’intera procedura. Il Governo ha altresì sostenuto l’adeguatezza del controllo ex ante, esercitato dall’organo di direzione competente dell’Autorità fiscale o della Guardia di Finanza.

Con riferimento, invece, al controllo successivo, ha affermato che l’autorizzazione allo svolgimento di verifiche fiscali di natura finanziaria sui conti bancari costituirebbe un atto preparatorio, non immediatamente impugnabile dinanzi al giudice. Tale atto potrebbe essere contestato soltanto in sede di ricorso dinanzi al tribunale tributario competente avverso l’avviso di accertamento fiscale definitivo, dimostrando che un’irregolarità nel procedimento autorizzativo abbia inciso sulla validità dell’atto impositivo. Infine, il Governo ha richiamato anche la possibilità di segnalare eventuali accessi indebiti ai conti bancari al Garante dei Contribuenti.

Il ragionamento e la decisione della Corte

La Corte ha preliminarmente riconosciuto la legittimità dell’accesso da parte delle autorità statali ai dati bancari ai fini della verifica dell’adempimento degli obblighi fiscali. Tuttavia, ha ritenuto necessario valutare se l’ambito della discrezionalità attribuita alle autorità nazionali fosse adeguatamente determinato dal quadro normativo e se quest’ultimo prevedesse garanzie procedurali sufficienti a tutelare i ricorrenti contro eventuali abusi o arbitrarietà.

La Corte ha rilevato l’esistenza di una discrezionalità eccessivamente ampia in capo agli uffici fiscali, osservando che la legislazione italiana non delimita in modo sufficientemente preciso il margine di discrezionalità conferito alle autorità, né con riferimento alla decisione di ricorrere a tali misure né con riguardo alla portata delle informazioni accessibili.

Pur riconoscendo l’esistenza di circolari amministrative volte a limitare tale discrezionalità, la Corte ha ritenuto che esse non possano essere considerate una garanzia effettiva. Alla luce della giurisprudenza della Corte di cassazione, infatti, le autorità non sono tenute a motivare le proprie decisioni né, conseguentemente, a dimostrare la conformità della loro azione ai principi stabiliti in tali circolari. 

La Corte ha pertanto concluso che la base giuridica delle misure contestate non fosse idonea a delimitare in modo sufficientemente preciso l’ambito della discrezionalità attribuita alle autorità nazionali e che non soddisfacesse il requisito della “qualità della legge” richiesto dall’art. 8 CEDU.

Per quanto riguarda la mancata comunicazione preventiva dell’accesso ai dati bancari, la Corte ha respinto l’interpretazione secondo cui esisterebbe un diritto a ricevere una notifica preventiva in caso di verifiche fiscali legittimamente disposte. Quanto all’assenza di un controllo giurisdizionale o indipendente ex ante può essere giustificata dall’esigenza di non compromettere l’efficacia delle verifiche fiscali. Tuttavia, la Corte ha sottolineato che, al fine di garantire la conformità all’art. 8 CEDU, devono esistere meccanismi effettivamente disponibili di controllo indipendente o giurisdizionale ex post delle misure di verifica fiscale.

La Corte, pertanto, ha esaminato la possibilità di ricorso successivo dinanzi alla Corte di giustizia tributaria, al Tribunale civile e al Garante dei contribuenti, ovvero i rimedi indicati dal Governo italiano.

Per quanto riguarda la prima ha concluso che non può considerarsi un rimedio effettivo in quanto in base al diritto interno, tale autorizzazione non è autonomamente impugnabile dinanzi ai giudici tributari, poiché qualificata come atto meramente preparatorio. Essa può essere contestata solo indirettamente nell’ambito dell’impugnazione di un eventuale avviso di accertamento. La Corte ritiene tuttavia che tale meccanismo non integri un rimedio effettivo. Da un lato, la giurisprudenza nazionale ha chiarito che l’autorizzazione non necessita di motivazione e che eventuali irregolarità — o persino la sua assenza — non incidono sulla validità dell’avviso di accertamento. Dall’altro lato, la disponibilità del rimedio risulta incerta, in quanto subordinata all’eventuale emissione di un avviso di accertamento e alla sua impugnazione da parte del contribuente.

Inoltre, considerati i termini entro i quali l’amministrazione può procedere all’accertamento, tale possibilità di ricorso potrebbe concretizzarsi solo dopo un considerevole lasso di tempo.

Analogamente, con riferimento al ricorso dinanzi al tribunale civile, la Corte ha rilevato che il Governo non è stato in grado di dimostrare in modo convincente né la sua concreta disponibilità né la sua effettività.

Infine, per quanto riguarda il ricorso al Garante del contribuente, la Corte ha escluso che esso possa essere qualificato come un rimedio effettivo ai fini dei requisiti di tutela previsti dall’articolo 8 CEDU. In particolare, tale organo non è dotato del potere di adottare decisioni vincolanti, limitandosi a svolgere funzioni di supervisione e di garanzia nei confronti dell’attività dell’amministrazione finanziaria.

Nelle sue conclusioni, la Corte ha respinto l’eccezione preliminare sollevata dal Governo italiano relativa al mancato esaurimento delle vie di ricorso interne, rilevando l’assenza, nell’ordinamento nazionale, di rimedi ex post effettivi e di un controllo indipendente idoneo a garantire un’adeguata tutela dei diritti convenzionali. Per quanto riguarda il merito, la Corte ha concluso che la legislazione nazionale conferisce alle autorità finanziarie un ampio margine di discrezionalità sia con riferimento alle condizioni in presenza delle quali possono essere disposte le misure in questione - ossia l’accesso ai dati bancari - sia con riguardo alla loro portata. Ne consegue che, non essendo garantiti adeguati requisiti minimi di tutela nei confronti dei ricorrenti, la Corte ha ritenuto integrata una violazione dell’articolo 8 CEDU.

Le implicazioni per l'ordinamento italiano

Rilevando un’eccessiva discrezionalità nell’esercizio dei poteri pubblici, nonché la mancanza di adeguate garanzie procedurali e di un controllo ex post efficace e tempestivo, la Corte ha qualificato la violazione del diritto al rispetto della vita privata come espressione di un problema di carattere sistemico. In applicazione dell’Articolo 46 CEDU, la Corte ha pertanto indicato una serie di misure che l’ordinamento italiano è chiamato ad adottare al fine di rendere il quadro normativo interno conforme alle garanzie previste dall’Articolo 8. La decisione rappresenta al tempo stesso un obbligo e un’opportunità per il legislatore italiano di riconsiderare l’attuale disciplina dei controlli fiscali, al fine di assicurare un più adeguato bilanciamento tra le esigenze di efficacia dell’azione amministrativa e la tutela dei diritti fondamentali garantiti dalla Convenzione.

In primo luogo, il diritto interno dovrebbe definire con maggiore chiarezza le circostanze e le condizioni in presenza delle quali le autorità possono accedere ai dati bancari dei contribuenti, imponendo il rispetto di criteri predeterminati e l’obbligo di motivare adeguatamente tali misure. 

In secondo luogo, dovrebbe essere previsto un controllo effettivo da parte di un’autorità giudiziaria o indipendente sulla legittimità di tali accessi, con particolare riferimento al rispetto dei criteri e dei limiti stabiliti dalla legge, senza che la possibilità di ricorso sia subordinata all’emissione o alla conclusione di un procedimento di accertamento fiscale. 
In terzo luogo, il quadro normativo dovrebbe tenere conto del contesto della cooperazione fiscale internazionale, consentendo l’accesso e la trasmissione di dati bancari anche al fine di verificare l’adempimento degli obblighi fiscali in altri Stati. 

Infine, pur riconoscendo che alcuni strumenti di tutela sono già previsti dall’ordinamento interno, in particolare dalla Legge n. 212/2000 (Statuto dei diritti del contribuente), la Corte ha sottolineato la necessità di dare concreta attuazione ai principi in essa contenuti mediante disposizioni più specifiche e di adeguare la giurisprudenza interna ai principi elaborati dalla Corte stessa.

Conclusione

In conclusione, la sentenza Ferrieri e Bonassisa c. Italia conferma la recente giurisprudenza della Corte per quanto riguarda il rapporto tra poteri di accertamento fiscale e tutela della vita privata, che richiederebbe al legislatore italiano un intervento strutturale sul quadro normativo esistente. La qualificazione del difetto di garanzie procedurali e di controllo ex post come problema sistemico, ai sensi dell’articolo 46 CEDU, trasforma dunque questa decisione in un’occasione di riforma complessiva dei meccanismi di accesso ai dati bancari, in cui le esigenze di efficienza dell’azione amministrativa dovranno finalmente essere bilanciate, in modo chiaro e prevedibile, con le garanzie convenzionali in materia di protezione di dati personali e di rispetto alla vita privata.

Da ultimo, a prova della rilevanza di questa sentenza per l'interpretazione dell’ordinamento italiano, la Sezione Tributaria della Cassazione, con sentenza  Cass. n. 2510/2026, ha ritenuto necessario rimettere le stesse parti e l’Agenzia delle Entrate, che sono state coinvolte nel contenzioso in Italia,  a una nuova udienza pubblica per consentire il contraddittorio con il Pubblico Ministero “tenendo conto di tale evoluzione del panorama giurisprudenziale sovranazionale”.