Fatturazione elettronica, servizi in “cloud” e privacy. Un trinomio difficilmente coniugabile

L’obbligo di fatturazione elettronica ha da sempre rappresentato un incubo per gli italiani sin dal fatidico 31 marzo 2015, data in cui è stato introdotto l’onere di emissione, trasmissione, conservazione e archiviazione delle fatture emesse nei confronti delle Amministrazioni Pubbliche ed autonome esclusivamente in forma elettronica.

Ad oggi, l’estensione di detto obbligo anche nei confronti dei soggetti privati – previsto, salvo ulteriori proroghe, a far data dal 01 gennaio 2019 – sta scatenando una vera forma di terrore. Il più assoluto.

Certo, la produzione ed emissione di un documento fattura in formato elettronico XML (eXtensible Markup Language) nel rispetto delle specifiche tecniche e della struttura sintattica del tracciato del file definito dal Sistema di Interscambio gestito dalla Agenzia delle Entrate non è cosa semplice ed immediata. E lo dico da esperto programmatore in materia.

Fortunatamente i “service provider” e le grandi software house, così come le agenzie o società di intermediazione si sono subito adoperati per produrre una quantità ormai infinita di software dedicati, di cui per maggior parte, offerti tramite servizi in “cloud” e l’aver avuto la possibilità di usufruirne, benché a pagamento, ha rappresentato una vera ancora di salvezza per tutti quei contribuenti chiamati a tali obblighi che certamente non sarebbero stati in grado di fronteggiare in proprio.

Ma oggi si è finalmente giunti alla tanto attesa semplificazione degli adempimenti, in specie termini di apposizione della firma digitale – non più obbligatoria per i documenti indirizzati a soggetti privati – nonché di conservazione dei documenti informatici, offerta a titolo gratuito ed in modo automatizzato dalla Agenzia delle Entrate per tramite di SOGEI, e perciò la perdurante forma di allarmismo mediatico reso attraverso Internet con cui ancora vengono prospettati tali adempimenti risulta forse poco corretta e trasparente.

Ma andiamo per gradi e cerchiamo di capire, prima di tutto, cosa sono i servizi in “cloud”.

Il termine “cloud” (dall’inglese cloud computing, in italiano nuvola informatica), indica un paradigma di erogazione di risorse informatiche, come ad esempio l’archiviazione, l’elaborazione o la trasmissione di dati, caratterizzato dalla disponibilità on-demand (ossia su richiesta di servizio), attraverso Internet, di un insieme di risorse preesistenti e configurabili, disponibili su un server di rete gestito di cui l’utente può disporre creando semplicemente un account e, qualora previsto, versando il dovuto corrispettivo.

Alla luce di tale sintetico chiarimento, cerchiamo ora di valutare quali rischi si possono configurare per l’utente nell’affidamento della gestione del processo di fatturazione a detti servizi in cloud e/o comunque a soggetti di intermediazione.

Esistono numerosi aspetti sensibili legati alla tecnologia in cloud, soprattutto per ciò che riguarda la volatilità delle informazioni memorizzate, la crittografia dati utilizzata nonché il tipo di approccio alla sicurezza. E’ per questo che il cloud computing è da molti criticato in specie se finalizzato ad una attività d’impresa.

Ma uno dei rischi maggiori è senz’altro la sicurezza informatica e la protezione dei dati.

Cominciamo col dire che l’utilizzo di un servizio di cloud computing per la memorizzazione ed il trattamento on-line di dati personali o sensibili – propri e dei clienti – può esporre l’utente a potenziali rischi di violazione delle norme in materia di custodia e protezione.

Quasi tutti i servizi on-line che gestiscono una grande quantità di dati sono spesso soggetti ad attacchi di pirateria informatica. Nell’ipotesi di atti illegittimi finalizzati all’appropriazione indebita di dati personali e/o sensibili, il danno per l’utente potrebbe essere molto elevato e con conseguenze giuridiche molto gravose.

Ma soprattutto, con quale autorizzazione i dati personali forniti dal committente/cessionario (cliente) al soggetto cedente-prestatore, finalizzati alla sola emissione di un documento fiscale, sono successivamente acquisiti, trattati e conservati da terzi?

Ma entriamo man mano nel dettaglio.

Il processo di fatturazione presuppone necessariamente l’acquisizione da parte del cedente/prestatore degli identificativi fiscali del committente/cessionario nonché di una serie di dati normalmente afferenti la descrizione del bene ceduto o del servizio prestato che, alla luce delle normative vigenti in materia di protezione dei dati stessi, potrebbero risultare anche sensibili. Si pensi ad esempio alle fatture emesse da un medico, un avvocato, uno psicanalista, un notaio, un farmacista, ecc..

Orbene, qualora il processo di fatturazione elettronica venga affidato ad un servizio in cloud o ad un soggetto intermediario, quali potrebbero essere le ripercussioni in materia di protezione dei dati personali?

Aiutiamoci con degli esempi concreti.

Ipotizziamo un qualsiasi soggetto cedente-prestatore che si serva di un servizio in cloud per gestire l’intero ciclo attivo di fatturazione elettronica o azzardiamo il caso, ancor più complesso, in cui la gestione della fatturazione venga affidata ad un consulente fiscale (o terzo intermediario) il quale a sua volta si serva di un servizio in cloud per produrre e gestire i documenti fiscali in formato elettronico che, come potrebbe accadere, usufruisca di servizi offerti da terzi finalizzati alla trasmissione dei documenti al Sistema di Interscambio gestito dalla Agenzia delle Entrate e alla successiva ricezione delle notifiche nonché di ulteriori soggetti accreditati presso l’AGID per la conservazione finale dei documenti informatici.

La procedura è normalmente gestita nella sua totalità su piattaforma on-line, salvo casistiche particolari che prevedono una sorta di gestione mista, ovvero parte in remoto – tramite software residente sul terminale in uso – e parte on-line.

L’immissione dei dati (personali e/o sensibili) propri o forniti dal cliente è effettuata direttamente dal soggetto che emette il documento (cedente-prestatore o terzo intermediario) ma la successiva acquisizione, il trattamento e la conservazione dei dati stessi è in vero effettuata del gestore del servizio.

Ma gli obblighi in materia di protezione delle persone fisiche con riguardo al trattamento nonché alla libera circolazione dei dati personali dettati dal vigente “REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016”, cosi come recepiti in ambito nazionale con “DECRETO LEGISLATIVO N. 101 DEL 10 AGOSTO 2018”, sono ormai chiari e purtroppo molto gravosi.

Certo, l’affidatario del servizio di fatturazione on-line, che sia un service provider, una grande software house o altro, a seguito di una idonea informativa resa al soggetto cedente-prestatore o, se del caso, al consulente fiscale (o terzo intermediario) nonché del ricevuto consenso al trattamento dei dati forniti da questi ultimi ha, nella sostanza, reso tutela a se stesso.

Ma che tipo di tutela può essere resa al cliente da parte del soggetto cedente-prestatore o allo stesso cedente-prestatore da parte dell’eventuale terzo intermediario o meglio che tipo di informativa può essere resa ex lege in nome della liceità, correttezza e trasparenza del trattamento.

A questo punto una serie di interrogativi sorge spontanea.

  • Quali figure possono essere dichiarate come Titolare del trattamento o Responsabile del trattamento dei dati?
  • Quale luoghi possono essere dichiarati come sede del trattamento dei dati personali cosi come quali soggetti possono essere dichiarati come affidatari del processo di trattamento dei dati
  • Quali modalità del trattamento dei dati personali possono essere dichiarate?
  • Quali misure tecniche ed organizzative appropriate possono essere dichiarate come adottate al fine di garantire un idoneo livello di sicurezza contro il rischio di distruzione, perdita, alterazione, divulgazione o accesso accidentale o non autorizzato ai dati?
  • Quali diritti possono essere riconosciuti alla controparte e soprattutto con quali modalità possono essere soddisfatti qualora rivendicati?
  • Quali azioni possono essere intraprese nella remota ipotesi di avvenuta violazione dei dati personali per cause imputabili al gestore del servizio?

Sembrerebbe proprio il caso di una classica ripercussione di obblighi a catena, non così semplice da gestire nei giusti termini di legge.

Non mi resta che dire: “Che fine faranno i dati personali degli Italiani”?

E continuiamo parlando del rischio di continuità del servizio offerto.

Delegando ad un service esterno la gestione ed elaborazione dei dati afferenti la propria attività professionale o d’impresa, l’utente si troverebbe fortemente limitato nel caso in cui i suddetti servizi non risultino operativi. Un eventuale malfunzionamento, purtroppo non così improbabile, potrebbe colpire un numero molto elevato di utenti essendo questi servizi condivisi.

Anche se i migliori servizi di cloud computing utilizzano oggi architetture ridondate e personale qualificato al fine di evitare malfunzionamenti dei sistemi e ridurre la probabilità di guasti visibili dall’utente finale, il problema non sembra del tutto risolto.

Va peraltro considerato che tutto si basa sulla possibilità di avere una connessione Internet ad alta velocità, sia in “download” che in “upload”, e che l’interruzione fortuita della connessione dovuta al proprio Internet Service Provider/ISP potrebbe provocare una completa paralisi dell’attività.

Da ultimo, la difficoltà o l’impossibilità di migrazione dei dati nel caso di un eventuale cambio del gestore del servizio (portabilità dei dati) non è certamente da sottovalutare.

Non esistendo uno standard definito tra i gestori dei servizi, un eventuale cambio di operatore risulterebbe estremamente complesso e/o oneroso.

Perciò concludendo, nella fattispecie del processo di fatturazione elettronica, viste la già ricordate semplificazione in termini di adempimenti di legge, in specie riguardo alla apposizione della firma digitale – non più obbligatoria per i documenti indirizzati a soggetti privati – nonché alla conservazione dei documenti informatici offerta a titolo gratuito ed in modo automatizzato dalla Agenzia delle Entrate, una soluzione intermedia, ovvero supportata da un software “client” (ovvero gestibile in remoto direttamente dal proprio terminale), in grado di interloquire con il Sistema di Interscambio, sembrerebbe essere un’ottima soluzione e senz’altro molto più sicura, garantendo nel contempo una piena autonomia gestionale ed un totale controllo della propria attività senza necessità di supporto esterno o intermediazione.

Il tutto, nella sostanza, per continuare a fare quello che si è sempre fatto: emettere una fattura ed inviarla tramite PEC e, ad oggi, se del caso, tramite procedura web.

Top