Fattura elettronica e conservazione, altro che commodity!

20 novembre 2018

Anche il Garante della privacy scende in campo e considera lo scambio dei dati e la loro conservazione un processo fondamentale e di rilevante criticità.

Quando sul mercato si sentono clienti e provider parlare della fatturazione elettronica e della conservazione come “commodity”, da acquistare e vendere a pochi cent al chilo, la prima reazione è quella di rabbrividire di fronte ad una simile sottovalutazione del processo che vi sta dietro.

Stiamo parlando di far transitare tutte le operazioni commerciali racchiuse in un documento come la fattura da un unico soggetto che, oltre a veicolarle al destinatario, le tratterrà in autonomia per circa dieci anni.

Controllare in automatico i dati fiscali delle aziende italiane (seppure una buona parte ne sia stata esentata) può essere sicuramente una buona cosa per prevenire situazioni anomale, ma veicolare e gestire l’intero patrimonio dei dati commerciali (aspetti logistici, di scontistica, listini, dati sensibili, sanitari, ecc.) del Paese attraverso un unico soggetto, rappresenta un elemento che ha preoccupato non poco le istituzioni chiamate a controllare la riservatezza e la sicurezza dei dati personali, subito dopo il recepimento della direttiva sul GDPR.

Vediamo in dettaglio criticità e preoccupazioni del Garante:

Il nuovo obbligo di fatturazione elettronica - esteso a partire dal 1 gennaio 2019 anche ai rapporti tra fornitori e tra fornitori e consumatori - presenta, secondo il Garante, un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito.

Entrando nel merito del nuovo sistema di e-fatturazione il Garante ha rilevato una serie di criticità. In primo luogo, l’Agenzia, dopo aver recapitato le fatture in qualità di “postino” attraverso il Sistema di Interscambio (SdI) tra gli operatori economici e i contribuenti, archivierà e utilizzerà i dati anche a fini di controllo. Tuttavia non saranno archiviati solo i dati obbligatori a fini fiscali, ma la fattura vera e propria, che contiene di per sé informazioni di dettaglio ulteriori sui beni e servizi acquistati, come le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici e di telecomunicazioni (es. regolarità nei pagamenti, appartenenza a particolari categorie di utenti), o addirittura la descrizione delle prestazioni sanitarie o legali. Altre criticità derivano dalla scelta dell’Agenzia delle Entrate di mettere a disposizione sul proprio portale, senza una richiesta dei consumatori, tutte le fatture in formato digitale, anche per chi preferirà comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore.

Anche le modalità di trasmissione attraverso lo SdI e gli ulteriori servizi offerti dall’Agenzia (come la conservazione dei dati) presentano criticità per quanto riguarda i profili di sicurezza, a partire dalla mancata cifratura della fattura elettronica, tanto più considerato l’utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di posta elettronica.1

Di fatto, cosa ci sta dicendo il Garante, o meglio cosa sta dichiarando all’AdE?

1. I dati trattati dall’AdE sono eccessivi rispetto alle reali necessità dell’Agenzia.

2. L’unico sistema di trasmissione, ricezione, notificazione e conservazione dei dati (lo SdI) andrà a gestire una mole di dati potenzialmente molto rischiosa per i dettagli ivi contenuti.

3. Il sistema di cui sopra non garantisce nemmeno i requisiti minimi di sicurezza nello scambio dei dati stessi.

Non entriamo nel merito del primo punto, che va valutato su altri tavoli, ma certamente possiamo entrare nel merito degli altri due.

1. Gestire un patrimonio informativo importante per molti anni, addirittura in regime monopolistico come vorrebbero recenti proposte di emendamenti parlamentari, implica un’assunzione di responsabilità enorme, in quanto devi garantire da una parte la massima sicurezza, tracciabilità, integrità e inviolabilità di tutte queste informazioni e, dall’altra, la neutralità assoluta rispetto ai dati complessivi di un sistema economico e produttivo che sono completamente nelle tue mani e che potresti quindi sfruttare a fini variegati.

Gli elementi quindi di sicurezza dei dati e tracciabilità degli accessi e delle operazioni effettuate sono di primaria importanza per il Garante della privacy ed è quindi chiaro a tutti che si parli di corretta conservazione a norma dei dati attraverso infrastrutture fisiche e logiche, sistemi di sicurezza e sistemi di monitoraggio di primissimo livello. Ossia investimenti e strategie che non possono certo fare il paio né con una commodity né con un single point of failure. Da sempre sosteniamo che essere conservatori accreditati significa fare un percorso di impegno economico e di risorse non indifferente, che male si sposa con la considerazione fatta dal mercato di un servizio banale e poco remunerato, perché veramente tanto bisogna garantire al cliente in termini di sicurezza blindata del dato. Da sempre sosteniamo anche che basarsi su un single point of interface e quindi di failure (lo SdI) per la fatturazione elettronica (e relativa conservazione) di un sistema Paese sia decisamente challenging. Molto meglio sarebbe stato suddividere su più access point privati e pubblici (con scelta a discrezione del contribuente) l’insieme delle informazioni scambiate e conservate.

2. Sia la PEC che i connettori messi a disposizione dallo SdI hanno degli elementi che non convincono del tutto il Garante: la PEC per i problemi di sicurezza dei server di posta su cui resterebbero i dati per un certo (più o meno lungo) periodo; i connettori per una crittografia assente o minimale nella tratta di trasmissione/ricezione. Restiamo convinti che la PEC, pur essendo il connettore più pervasivo, non sia certo il più affidabile per gestire una transazione così fondamentale per la vita di un’azienda quale la fatturazione (caselle piene, server non sempre accessibili, sistemi di sicurezza variegati, limiti di spazio per invii e ricezioni e una gestione piuttosto frammentaria delle fatture essendo comunque un servizio mail). I connettori garantiscono sicuramente una maggiore performance, una gestione dello spazio e degli invii/ricezioni decisamente più affidabile, la possibilità di integrare nativamente gestionali e documentali per il processo di fatturazione, ma devono essere ovviamente tutelati al massimo per quanto concerne la sicurezza delle tratte. L’HTTPS e l’SFTP, con la loro crittografia di canale, rappresentano connettori oggi ottimali per lo scambio sicuro, ma occorrono implementazioni coordinate e controllate dalle parti per non perdere dati per strada e per garantire check point restart efficaci ed immediati.

Da tutto ciò cosa ne consegue? Che il Garante si sta preoccupando che lo SdI e l’AdE reagiscano, si muovano e garantiscano quanto i clienti, le filiere e i consorzi hanno sempre chiesto ai propri provider, volendo sempre investimenti e presidi di altissima qualità e una assoluta neutralità sui dati e, aggiungiamo noi, creando un mercato open fatto di più operatori che non rappresentino un single point of failure ma many points of strength.

Il Garante si è comunque anche preoccupato in un apposito paragrafo degli intermediari:

Ulteriori problemi pone il ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture, alcuni dei quali operano anche nei confronti di una moltitudine di imprese, accentrando enormi masse di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.” 1

In questo caso si pone l’accento su come si muovono gli intermediari sul mercato, ossia se a fronte del mercato delle pulci (le famose commodity da brividi), si possa poi garantire sicurezza, presidio e neutralità sull’utilizzo delle masse di dati gestiti.

Nel ruolo di conservatori accreditati da molti anni e provider EDI/B2B da decenni, apprezziamo questo endorsement del Garante verso servizi che rappresentano un reale valore aggiunto per le aziende o una criticità che, se non gestita con la massima serietà e professionalità dal fornitore (o intermediario), può creare delle grandi problematiche sia nel trattamento che nella conservazione a breve e lungo periodo dei dati.

A fronte di un intervento così diretto sui temi della privacy, possiamo ancora considerare i servizi di fatturazione elettronica e conservazione delle commodity da pochi cent al chilo?

Prezzi che appaiono davvero molto competitivi o addirittura servizi gratuiti, potrebbero magicamente trasformarsi nei famosi zecchini d’oro del gatto e la volpe.

 

 

1 Garante per la protezione dei dati personali "Provvedimento nei confronti dell'Agenzia delle entrate sull'obbligo di fatturazione elettronica - 15 novembre 2018" (Registro dei provvedimenti n. 481 del 15 novembre 2018).

 


A cura di:

Iscriviti alla newsletter

Per confermare l'iscrizione, controlla la tua email


*Campo Obbligatorio

Share This