Certificato Cades per firma fatture xml

Ciao Daniele,

sei riuscito poi a trovare una soluzione per far fronte al problema della firma elettronica automatica da applicazione??
Grazie in anticipo

Tra i servizi venduti dai provider, ci sono quelli di firma automatica, che non hanno bisogno di interazione umana.

1 Mi Piace

no, alla fine abbiamo non risolto inoltrando le fatture b2b e b2c senza firma.
mentre per le fatture B2PA e verso estero, facciamo scaricare l’xml , firmare con il dicke dal cliente finale e poi allegare prima dell’invio.

sicuramente è scomodo ma i clienti con cui abbiamo a che fare tendono a fare da 1 a 10 fatture all’anno verso pa o estero quindi per loro non è una gran fatica.

anche perchè da FAQ chi firma la fattura deve essere chi la EMETTE.
noi facendo compilare il tutto dal cliente finale non siamo intermediari emettitori ma solo trasmittenti

1 Mi Piace

Scusate, ma con la fatturazione elettronica implementata tramite webservice e utilizzando i certificati forniti dall’sdi, non è sufficiente inviare i file generati dall’applicativo ed inviari tramite il metodo ricevi_file ?

Mi sfugge la questione di “firmare l’xml”, anche perchè io extraitalia devo mandare un quantitativo di fatture abissale durante l’anno!

2 Mi Piace

Quoto. La cosa interessa anche me.

Pensavo che la firma digitale non fosse necessaria quando veniva usato il sistema di interscambio (dato che la comunicazione è protetta dal doppio certificato sia client con ricevi_file sia server via ws). Tuttavia ho ricevuto una notifica di scarto (su una fattura b2b) per
File non integro (firma non valida)

Mi ero fatto questa opinione leggendo le domande e risposte dell’agenzia, fra cui c’era anche questa:

FIRMA DIGITALE
Per trasmettere le fatture elettroniche tramite lo Sdi, una Srl può usare una qualsiasi firma digitale o è necessaria la firma dell’amministratore o di persone opportunamente delegate?
Si premette che per trasmettere una fattura elettronica tra privati, a differenza di quanto accade per la trasmissione di fatture elettroniche alle pubbliche amministrazioni, non è necessario firmare digitalmente la fattura. Ovviamente può essere giuridicamente opportuno. Comunque se si vuole firmare le fatture la firma del rappresentante legale è sicuramente idonea. Dall’entrata in vigore del regolamento Eidas si può anche utilizzare un sigillo d’impresa.

infatti non è necessario ma puo’ essere opportuno per avere una sottoscrizione che produca anche effetti civilistici

1 Mi Piace

la firma è comunque obbligatoria verso le PA.
Mi avevano riferito che era obbligatorio anche per l’estero con l’informativa del 15 ottobre ma cercando su internet non sono riuscito a convalidare la notizia.

in base a quello che scrivevo precedentemente sulla fattura estera e l’obbligo di firma, la cosa viene riportata sul sito fisco e tasse. Anche se è anche evidente che emettere fattura elettronica per un cliente estero non è obbligatorio.

Ciao Morris,

noi siamo bloccati nei test in quanto il sistema non valida i file xml per l’assenza della firma.
Potresti per favore indicarci quale servizio utilizzi per firmare in modo automatico i documenti?
Noi stiamo creando un’applicazione in Java e vorremmo apporre la firma certificata in fase di creazione del file xml.

Ti ringrazio in anticipo.

Noi usiamo Aruba, ma anche Namirial è un’alternativa valida.
Se però la firma ti serve solo per passare i test, e poi non ti interessa firmare più (perché banalmente non gestisci fatture verso la PA), trova un metodo diverso: i servizi automatici non sono proprio a buon mercato.

Grazie mille davvero! Noi pensavamo invece da documentazione che i certificati fossero sufficienti a a firmare il documento xml. Ci informeremo comunque sulle tariffe. Noi abbiamo la necessità di firmare anche in produzione perché i nostri clienti emettono anche fatture verso le PA.

Allora… se ti serve solo firmare usando un certificato PFX tanto per dire “ho firmato”, devi essere in grado di procurarti un certificato PFX di firma TUO affinché, passando te delegato come soggetto emittente della fattura, sia anche preposto a poterla firmare. In tal senso, ci sono librerie per firmare in C# partendo da un PFX. In questo modo basterebbe andare da uno dei fornitori certificati, chiedergli di staccarti e rilasciarti il tuo PFX, installartelo sulla macchina preposta alla firma e usarlo con il tuo algoritmo implementando “tutta in casa” la firma automatica. Tutto bellissimo, ma rischieresti la galera: la normativa prevede che in casi di firma automatica (senza interazione umana) quel PFX sia custodito dalla casa madre che l’ha partorito, ed è per questo che ti fanno pagare tutta l’interazione e l’infrastruttura per arrivare a usarlo, ed è per questo che quel PFX non te lo fanno neanche strapagandolo.
D’altra parte, quella interazione consiste al massimo nel setup di un servizio web dedicato e trenta righe di codice, oltre ovviamente alla trafila per il rilascio del certificato di firma e a una discreta somma di denaro.
Buona fortuna…

Grazie per il chiarimento e il tempo dedicatomi. A questo punto mi sembra di capire che l’unico modo possibile sia dividere la gestione tra fatture PA e privati in modo tale da non incorrere in inconvenienti dal punto di vista legale…

Ciao Daniele,
anche io ho lo stesso problema, del capire se si debba o meno firmare la fattura estera. Nel documento da te linkato discrimina tra soggetti identificati o meno. Non capisco cosa voglia dire… Hai avuto altre info in merito? Vorrei trasmettere tutto il ciclo attivo, così da non dover comunicare nulla nell’esterometro, ma se il prezzo da pagare è la prima della fatture estere, lascio stare…

sinceramente non saprei
allo stato attuale molte cose non mi sono più chiare.
sogei tace
certe fatture che non dovrebbero passare passano (senza quantità e importo)
quelle che invece dovrebbero passare ad alcuni tornano indietro a distanza di giorni con errori su codifica.

non mi è più chiaro se il codice XXXXXXX con partita iva OO99999999999 va messi a tutti gli stranieri o solo quelli extra CEE.

allo stato attuale mi viene da aspettare l’anno nuovo ed attendere le telefonate dei clienti che diranno “non va nulla”

1 Mi Piace

le prime settimane del 2019 saranno dure! :disappointed_relieved:
si prevede lavoro h24 :cold_face:

1 Mi Piace

Ciao, per curiosità, hai un link alla normativa dove questo viene spiegato ?
Noi abbiamo sviluppato un sistema di firma massiva senza operatore tramite smart card e quindi il certificato è contenuto nella smart card stessa, non viene estratto (in pratica si firma senza dover digitare il pin, ma è in tutto e per tutto una firma fatta tramite smart card). Vorrei capire questo riferimento alla legge cosa dice esattamente.

GRAZIE!

Allora nel caso di firma con Smart card senza operatore non so le regole quali siano. Io mi sto attenendo alle regole che ci ha illustrato il fornitore

Ciao,
@Morris , @avb2b,
state andando in loop ed avete entrambe parzialmente ragione.
La normativa tecnica Italiana non prevede il bando dei lettori smart reader Class 1, sebbene di fatto quasi tutti gli operatori vendono smart reader Class 2.
Al tempo stesso ciò che cita Morris è comprovato dal fatto che per ottenere la firma “unmanned” bisogna ricorrere agli HSM.

Ora lasciamo gli aspetti tecnici ed entriamo in quelli pratici, la persona fisica a cui è intestata la chiave privata della smart card possiede un PIN personale, come e’ stato estorto questo PIN ?
La persona ha consapevolmente utilizzato una smart card Class 1 ? gli è stata offerta la possibilità di avvalersi di un CLASS 2 ?
La persona stessa ha sottoscritto i termini generali di riservatezza annessi al contratto della smart card ovvero la frase standard:
(cito Infocert, ma Aruba e’ Idem con patate)
“Ricordiamo che tale codice e’ strettamente personale e deve essere conservato LONTANO dal dispositivo di lettura”

Link esempio di un class 2 reader

link HSM

Ciao

1 Mi Piace

Ok grazie, mi interessava solo leggere cosa diceva la normativa a riguardo della firma automatica… perché per quel che sono riuscito a leggere io, non si “obbliga” all’uso di un HSM.

Diciamo anche che per i fornitori di questo genere di servizi, queste fatture elettroniche sono state un bel modo di raccogliere nuovi clienti e quindi in quanto a trasparenza penso che molti ci abbiano un pochino “marciato sopra”; non dico che abbiano dato informazioni errate, ma che abbiano detto il minimo indispensabile o comunque omesso alcune possibilità penso sia un dato di fatto.

Per esempio i nostri certificati sono certificati con restrizione (articolo 28 del codice di amministrazione digitale) e quindi limitati allo scopo di firma automatica di fatturazione elettronica e conservazione sostitutiva. Abbiamo dovuto penare parecchio per trovare un fornitore che ci fornisse tali certificati… Questo perché tutti gli altri spingevano verso prodotti HSM.

Avendo certificati con restrizione, il fatto di avere una smart card conservata in un luogo non sicuro (e anche su questo ci sarebbe da discutere) è molto meno grave e sicuramente non porta rischi per l’intestatario della smart card stessa.