Il servizio di monitoraggio dei dati personali fornito dall’azienda ai propri dipendenti, nell’ottica di minimizzare i rischi correlati all’utilizzo distorto di "dati sensibili", tutelando, allo stesso tempo, il proprio sistema aziendale e, altresì, i propri dipendenti, non è fiscalmente rilevante in capo ai dipendenti e la società, in qualità di sostituto di imposta, non è tenuta ad applicare le relative ritenute sui redditi di lavoro dipendente (AGENZIA DELLE ENTRATE - Risoluzione 12 agosto 2019, n. 77/E).

I furti d’identità e di informazioni privilegiate, al pari dei cosiddetti "attacchi informatici", costituiscono, attualmente, degli eventi sempre più diffusi sia sulla rete internet che sui social network.
Tali eventi, che colpiscono anche i singoli individui, potrebbero avere inevitabili e gravi ripercussioni sulle realtà aziendali nelle quali gli stessi si trovano a operare.
Ad esempio, il furto delle credenziali di accesso al profilo aziendale di un dipendente - che, per promemoria, ha, ad esempio, inviato la password della postazione di lavoro dall’azienda al proprio indirizzo di posta elettronica personale - potrebbe consentire un accesso fraudolento diretto al sistema informatico dell’azienda, con ripercussioni economiche rilevanti a carico di quest’ultima.
Nell’ottica di minimizzare i rischi correlati all’utilizzo distorto di "dati sensibili", tutelando, allo stesso tempo, il proprio sistema aziendale e, altresì, i propri dipendenti, la società istante intende fornire, a questi ultimi, un servizio di monitoraggio dei dati personali, il "Dark-web Monitoring.
In tale contesto, detto servizio costituisce uno strumento fondamentale per lo svolgimento in sicurezza e in maggiore libertà dell’attività lavorativa dei dipendenti, al fine ultimo di gestire e minimizzare il rischio aziendale connesso all’utilizzo illecito delle informazioni sensibili. Il servizio offerto dalla società ai dipendenti, pertanto, risponde a un interesse prevalente della società medesima, anche nel caso in cui utilizzi informazioni personali dei dipendenti (ad es. numero di carta di identità e passaporto) quale veicolo per minimizzare il rischio aziendale correlato all’uso fraudolento di informazioni sensibili.
La tutela del dipendente e quella della realtà aziendale costituiscono, in questa particolare fattispecie, aspetti assolutamente interdipendenti per assicurare e garantire principalmente la società da eventuali attacchi informatici esterni.
Il servizio di monitoraggio dei dati offerto dalla società ai dipendenti non è fiscalmente rilevante in capo a questi ultimi e la società, in qualità di sostituto di imposta, non è tenuta ad applicare le relative ritenute ai sensi dell’art. 23 del DPR 29 settembre 1973, n. 600.