Canale SDICoop: firma "automatica" per fatturePA

Ciao a tutti,

da alcuni mesi amministro un portale che invia fatture a SdI tramite canale SDICoop abilitato: avrei necessità di trovare un modo per “firmare” le fatturePA prima di inviarle a SdI lato server, così da risparmiare ai miei clienti l’onere di dover apporre la firma digitale prima dell’invio.

Leggendo questo forum ho trovato questo thread, risalente a Gennaio 2019, nel quale si fa riferimento a una sorta di “workaround” trovato da un utente per assolvere a tale scopo facendo uso del certificato fornito da SdI per il canale FTP:

Che voi sappiate questo “workaround” funziona ancora? E’ stato in qualche modo autorizzato (o vietato) in modo ufficiale?

Se funziona ancora, suppongo che quello che dovrò fare sarà richiedere l’abilitazione del canale FTP unicamente a tale scopo (prendere il certificato necessario), in caso contrario esistono altri modi per firmare quelle fatture lato server, ovvero senza token, smartcard o altri dispositivi fisici di sorta?

P.S.: Chissà come mai non hanno pensato a un certificato server da mettere a disposizione anche per il canale SDICoop, visto che mi sembra un’esigenza tutt’altro che rara.

Un grazie sincero a chi saprà e vorrà rispondermi!

1 Mi Piace

Scrivimi in privato.

perchè in privato? voglio sapere anche io :frowning:

Tramite le librerie Chilkat puoi apporre firme (di svariati tipi, CADES, XADES, embedded etc) molto semplicemente e in modo totalmente automatico.

si ma il problema è il certificato di firma, che si trova nel dispositivo da collegare necessariamente al pc

ti ho scritto in privato

(in privato a chi?)
Comunque si, il dispositivo deve rimanere attaccato al PC che firma.

questo è il limite che non lo rende “totalmente” automatico

ho scritto in privato a Emiliano_Minella (il messaggio è in risposta a lui) sembra che abbia una soluzione

Questo è un argomento che mi ha sempre reso molto perplesso…

Alla fine, trovare il modo per firmare le fatture “in automatico” non è così complesso, basta avere un certificato predisposto a portata di mano o un sistema di firma remota… ma quali sono le conseguenze a livello di responsabilità?

Voglio dire, se io Mario Rossi emetto una fattura e Carlo Bianchi la firma in automatico per lui, io la vedo come un accollarsi in modo esplicito la responsabilità da parte di Carlo Bianchi che quanto compilato da Mario Rossi sia corretto ed integro.

Chi risponde della correttezza contabile di un documento firmato, se non il firmatario stesso? Per questo motivo noi chiediamo ai nostri clienti di far firmare ogni fattura dal legale rappresentante ed eventualmente cerchiamo di rendere comunque il processo il più semplice possibile.

A me sembra follia pura firmare in automatico le fatture dei propri clienti, eppure vedo che in molti fornitori di software lo fanno… Cosa ne pensate?

3 Mi Piace

penso dipenda molto dalla situazione in cui ti trovi.

Lato gestionale

  • gestionale installato sul pc
  • gestionale in cloud
  • gestionale su pagina web

Se si firmano solo le PA

  • emissione di meno di 20 fatture PA all’anno
  • emissione di centinaia di fatture PA all’anno

se il software è installato o remoto ma su un server a portata di mano, probabilmente è abbastanza semplice applicare una chiavetta.
quando il server è in un datacenter non raggiungibile, allora bisogna utilizzare firme remote o affittare server dedicati con costi non indifferenti.

e il tutto dipende da quante firme vuoi far fare ai tuoi clienti e quanti clienti hai.
se sei una grande società con centinaia di clienti, spendere 3000 / 4000 mila euro all’anno di firme non è un problema.
Ma se si parla di piccole società che gestiscono qualche decina di clienti, il costo incide maggiormente e può essere una spesa scomoda.

A livello di cliente, se deve inoltrare ogni giorno 5/10 / 20 fatture o più che devono essere firmate, la cosa diventa una gran rottura e perdita di tempo.
Se invece ne deve firmare 1 ogni settimana o mese, non è una gran scocciatura.

Per quanto riguarda invece l’aspetto legale, nelle diciture che riportava l’agenzia delle entrate nelle FAQ e che avevamo postato in questo forum a fine 2018(se non erro), veniva detto che il firmatario è chi emette la fattura.
Quindi se la fattura è fatta da Azienda 2 per conto di Azienda 1 deve firmare Azienda 2.
Ma se azienda 1 utilizza un programma di compilazione, allora dovrebbe essere azienda 1 a firmare in quanto è lui che si fa carico di “certificare” il contenuto della fattura.(fatta eccezione per l’ADE che firma per tuo conto avendo già certificato il tuo ingresso nel portale)

Poi che sia giusto o sbagliato firmare per conto del cliente, è tutto da dire.
Se parte una fattura di un cliente firmata con il tuo nome , il cliente potrebbe dire che non l’ha mai compilata e il tuo gestionale è impazzito. D’altro canto per il cliente è una comodità che le grandi case fanno

Per quanto mi riguarda, firmando solo le PA, faccio estrarre il file XML generato al cliente, lo faccio firmare e poi ricaricare per l’invio.

Quindi questa FAQ conferma quello che dico io: la fattura dev’essere firmata da chi emette la fattura, perché è lui/lei che deve attestare e prendersi la responsabilità che quanto scritto è corretto e veritiero!

Infatti, è proprio questo il punto! Che firmare massivamente le fatture sia una comodità è fuori di dubbio. Ma quello che non capisco io è questa leggerezza (a mio parere) con cui alcune software house e/o service provider firmano le fatture per conto dei clienti. Ma se Tizio compie un illecito ed emette una fattura falsa o sbagliata e questa fattura è firmata da Pinco Pallino Software (anzi, addirittura dal signor Pinco Pallino, dato che mi risulta che le firme qualificate siano tutte nominative), ma vuoi che non vengano a bussare anche a Pinco Pallino?
A meno che non vogliamo togliere alla firma tutto il suo valore (se il problema era solo garantire la non manomissione della fattura allora bastava che la firma l’apponesse l’SdI con produzione di un hash di controllo…). Dal canto mio, io continuo a mantenere la linea che prevede che siano i nostri clienti a firmare le proprie fatture prima di inviarle col nostro software. Ci stiamo muovendo per cercare di facilitare al massimo l’operazione di firma, ma non credo che la soluzione sia firmare al posto loro. A meno che non esista una fonte che dichiari chiaramente che è possibile farlo senza incorrere in responsabilità in merito al contenuto della fattura firmata.

2 Mi Piace

Concordo pienamente. La fattura va firmata da chi la emette.

1 Mi Piace

Buongiorno,
l’osservazione di @daniele_m in merito all’opportunità di firmare automaticamente le fatture dei clienti in relazione alle quantità è bilanciata.

La normativa in vigore legittima il processo di automazione della firma identificando correttamente i soggetti in campo e le rispettive responsabilità, pertanto chi ha i mezzi per erogare un servizio di “prima classe” lo eroga.

Noi trattiamo circa 4 milioni di fatture elettroniche l’anno, sarebbe semplicemente inattuabile farle firmare una ad una ai clienti.

Solo per chiarire: non abbiamo alcun problema ad apporre le firme, il problema è dato dal fatto che il server che in teoria dovrebbe “firmare per procura” si trova in un ambiente virtualizzato in Cloud e quindi ovviamente non gli si può collegare un dispositivo per firma digitale: lo scopo di questo thread è quello di comprendere se esistono alternative o workaround che consentano di firmare digitalmente le fatture per la PA evitando un collegamento hardware “fisico” di questo tipo…

… come ad esempio il workaround del certificato FTP a cui mi riferisco nel post di apertura (che però non so se funziona ancora oppure no).

Nel caso in cui un workaround di questo tipo non si trovi, le uniche alternative che mi vengono in mente sono:

  • chiedere agli utenti di firmare digitalmente le fatture (alternativa che a mio modesto avviso è anche la più “corretta”, anche se fa ovviamente storcere il naso agli imprenditori coinvolti nel business delle fatture elettroniche di massa che vorrebbero evitare all’utente pagante un simile onere, così da poter offrire un servizio più “smart”).
  • predisporre un “muletto” fisico con smartcard e un Web Service realizzato ad-hoc e farle firmare a lui: anche in questo caso, però, resta il problema del PIN del dispositivo stesso (non so se esistono dispositivi di firma che non lo richiedano: qualcuno lo sa?).
  • trovare un partner che consenta di firmare i documenti tramite firma remota con un processo di verifica che sia in qualche modo automatizzabile, sulla falsariga di quanto spiegato in questo post: Firma automatica File PA : Apache (sempre che sia fattibile e che esistano provider del genere).

Concordo con te: a mio avviso la firma delle fatture elettroniche dei clienti a livello di provider tramite automatismo è (per usare un eufemismo) una leggerezza legalizzata, che peraltro invalida gran parte del senso che il legislatore voleva dare alla presenza della firma digitale e può avere conseguenze non banali sulla “accountability” dell’intero processo.

Sfortunatamente gli imprenditori coinvolti nel business delle fatture elettroniche di massa sono naturalmente portati a proporre ai loro utenti soluzioni “smart”, avvalorando in tal modo la concezione miope che hanno molte persone nei riguardi dell’obbligo di firma: una rottura di scatole di cui liberarsi (o delegare ad altri), anziché come una doverosa e necessaria presa di coscienza delle responsabilità connesse alla produzione di un documento fiscale :sweat_smile:

Questo è il motivo che li spinge alla ricerca di workaround che, in una società ideale dove queste innovazioni vengono accompagnate da una crescita culturale e dalla conseguente “rimozione” di chi non ha voglia o modo di adeguarsi dai ruoli decisionali, non dovrebbero essere neppure concepiti.

Se hai un PC con fisicamente attaccato i certificato di firma (su tessera o usb che dir si voglia) è possibile eseguire (da quel PC) delle firme completamente automatiche (ne parliamo nella sezione “Das Elettronico” che ha problematiche molto simili a quelle della fattura elettronica)

Interessante: se non ti è di troppo incomodo mi potresti linkare il thread o (meglio ancora) un esempio di dispositivo di firma elettronica HW che non richieda PIN o che consenta comunque di poter firmare in modo automatico?

Riesci gentilmente a fornirci dei riferimenti concreti dove si spiegano, appunto, i soggetti in campo e le rispettive responsabilità, con particolare riferimento a chi dovrebbe/potrebbe firmare una fattura elettronica?
Io mi sono guardato tutta la documentazione legata alla fattura elettronica, con relativi aggiornamenti, e non ho mai trovato spiegato chi dovrebbe firmare la fattura e quali responsabilità si assume nel farlo. L’SdI, a quanto ne so, non fa alcun controllo in tal senso e chiunque può applicare la propria firma ad una qualunque fattura, basta che il suo certificato sia valido.
Sarei il primo contento di venire a conoscenza di un documento che consenta effettivamente a chiunque di firmare una fattura elettronica senza assumersi alcun tipo di responsabilità sui contenuti della stessa, ne avremmo tutto l’interesse.

4 milioni è il totale (e tra l’altro mi chiedo se siano tutte queste 4 milioni rivolte a PA), ogni cliente dovrebbe firmarsi ovviamente solo le proprie…

1 Mi Piace

Il thread è DAS Elettronico (Sicurezza / Das elettronico, anche se non capisco perché sia in “Sicurezza”)

In generale per la firma automatica quasi tutti usano le librerie di Chilkat mentre qualcuno usa un componente .net
(io uso chilkat)

1 Mi Piace

Mi permetto di intromettermi perchè di questo argomento abbiamo discusso abbondantemente nel thread apposito sul DAS Elettronico. Io, ad esempio, sotto consiglio di @col.Straker, sono passato ad utilizzare le librerie Chilkat per la firma “automatica” del DAS Elettronico (ma è un concetto che si può estendere a tutti i tipi di files, siano essi XML, stringhe, immagini, o quant’altro). Nel codice è sufficiente passare la password della firma elettronica (ovviamente con gli opportuni accorgimenti di protezione e di criptazione) e le Chilkat fanno tutto loro. Ho usato le virgolette sulla parola automatica volutamente, perchè il dispositivo fisico della firma (sia esso un Token USB o un lettore di SmartCard) deve essere collegato al pc dal quale la procedura viene lanciata. Quindi, per i programmi in Cloud o per quelli centralizzati sul server, bisogna o rifarsi a certificati remoti o ad avere sempre attaccato al server il dispositivo in questione.

Che poi questo sia giusto o sbagliato è un altro paio di maniche, fatto sta che per il cliente finale questo metodo è sicuramente appetibile, in quanto richiede interazione minima da parte sua, con conseguente riduzione degli “errori umani” da parte loro.

1 Mi Piace