menu di navigazione del network

Codice univoco: come identificare / differnziare multipli clienti?

Buongiorno a tutti,

Situazione:
noi come azienda che fornisce un software gestionale con il quale è possibile per l’utente a ricevere le fatture elettroniche in entrata, abbiamo un codice univoco che comunichiamo all’utente che lo comunica poi ai propri fornitori. In questo modo l’utente potrà ricevere le fatture del fornitore all’interno del software gestionale.

Problema:
il software gestionale ha centinaia di utenti diversi, con partite ive diverse mentre noi forniamo un codice univoco solo. Come possibile identificare e differenziare con sicurezza un utente dall’altro per assicurare che le fatture vengano fornite ai utenti giusti? Tramite p.iva non è possibile, per che un utente potrebbe semplicemente specificare la p.iva di un’altro utente e ricevere così fatture che non sono sue.

Esiste una soluzione ufficiale?

Saluti :slight_smile:

Non c’è alternativa a farlo in base alla partita iva.
Semplicemente la partita iva dovrete inserirla voi e dovrete bloccarne la modifica da parte dell’utente.
Se ci pensi bene, lo stesso problema ce l’avresti anche con il codice destinatario… cos’è che impedirebbe ad un utente di inserire un codice destinatario non suo? Probabilmente il fatto che lo impostate e voi e lui non può modificarlo. Stessa cosa per la partita iva.

Non capisco lo scenario in cui un “malicious user” (per dirla alla Microsoft :smiley:) potrebbe ricevere fatture non sue:
se fornisci tu il gestionale sei tu che acquisisci la partita iva e che fai il recapito dopo aver ricevuto la fattura da SdI tramite il codice univoco.

Alice fattura a Bob. Bob e Eve sono tuoi clienti.
Alice ----> SdI
SdI —> @Fabian
@Fabian -----> Bob

Se Eve ti comunicasse di avere la partita Iva di Bob potresti accorgertene immediatamente con una visura o controllando sul sito dell’AdE o perchè già l’hai in archivio assegnata a Bob.

p.s.: Resta il fatto che tramite il cassetto fiscale posso impostare il canale attraverso cui riceverla indipendentemente dai parametri che vengono inseriti nella fattura da chi la invia

Quando un cliente ti fornisce la delega per gestuire la fatturazione elettronica a suo nome (quindi utilizzando il tuo codice univoco per inviare e ricevere) ovviamente gli richiedi anche la partita IVA e il codice fiscale. Non vedo perchè un cliente dovrebbe indicarti una p.IVA non sua.
Noi di Debitoor facciamo controlli sul formato della partita IVA e sull’eventualità di doppioni di partite IVA o codici fiscali.
Se però un cliente ci indicasse una partita IVA non sua e non di un altro nostro cliente… non potremmo farci niente noi.
Resta il fatto che le fatture arrivano comunque su fatture e corrispettivi utilizzando codice fiscale e partita iva del destinatario, quindi il diretto interessa la riceve comunque.

Bene Marco, se su Debitoor (che secondo me è uno dei migliori) avete alzato bandiera bianca di fronte alla possibilità di impostori nelle deleghe, allora ci sentiamo tranquilli nel farlo pure noi. Avevo già il lenzuolo e l’asta ma non avevo il coraggio di unirli e sventolarli, ora capisco che qualsiasi soluzione sarebbe più una folle seccatura per il 99,9% onesto che per lo 0.1% che si potrebbe spacciare per un altro. Ma d’altra parte, col cartaceo, tre mesi fa avrei potuto fare una fattura da chiunque a chiunque altro…

1 Mi Piace

Noi abbiamo introdotto un ulteriore meccanismo di sicurezza proprietario alla nostra soluzione e quindi indipendente dal SdI, dove il “proprietario” della partita IVA, nel caso in cui un’altro utente dovesse inserirla nelle proprie impostazioni, deve confermare che questo utente è autorizzato a farlo.

Resta da dire che esiste una bella differenza tra emissione di una fattura cartacea con una partita IVA di un’altro soggetto e l’invio, ma soprattuto la ricezione, di una fattura elettronica attraverso una partita IVA di un altro soggetto…

Come evincete chi è il proprietario della partita iva? È il primo che la iscrive in piattaforma, o cosa?

Perché no? In quasi tutti i casi di servizi online (e anche offline) se si presenta qualcuno dicendo “questa è la mia partita IVA” viene creduto. Del resto come faresti a verificare? Dovresti fare qualcosa tipo richiedere la firma elettronica del rappresentante legale. Non essendoci l’obbligo per legge, finisci solo per perdere clienti perché scelgono un fornitore che gli fa meno storie.

Secondo me questa cosa andrebbe fatta dall’AdE. Invece di permettere, opzionalmente, di indicare il proprio canale preferito per la ricezione, dovrebbero obbligare di indicare i canali autorizzati sia per la ricezione che per l’invio. In mancanza di queste indicazioni si potrebbe inviare e ricevere solo attraverso il portale F&C.

No, io chiedevo solo perché praticamente stiamo facendo tutti in questo modo e quindi la tua risposta è quella che avrei dato pure io.
In realtà ci sarebbe la possibilità di chiedere la pec ufficiale dell’impresa a servizi web ad hoc, ma sono a pagamento, oppure se liberi sono pagine difficilissime da inglobare in un contesto esterno… ma anche lì: la pec non è obbligatoria per tutte le imprese, ci sarebbero comunque eccezioni.

C’è questo tool gratuito che restituisce la ragione sociale a partire dalla PI
https://telematici.agenziaentrate.gov.it/VerificaPIVA/IVerificaPiva.jsp
Se vi è una notevole discrepanza qualche domanda al cliente la si può fare… :grimacing:

1 Mi Piace

Sì, sì, lo conosco, ma ci sono due problemi:

  1. Questo può essere utile per identificare errori di inserimento della p.iva (anche se è difficile che uno sbagli la propria e ottenga pure un’altra valida), ma un delinquente presumo starà attento a fornire la ragione sociale corrispondente alla p.iva.
  2. La verifica è automatizzabile con difficoltà. Primo c’è il captcha. Secondo, la ragione sociale viene spesso scritta con varianti diverse, quindi bisogna introdurre euristiche.

Poi dipende anche dalle dimensioni che hai. Noi i nostri clienti li gestiamo manualmente e abbiamo con loro un rapporto molto più personale (è il valore aggiunto che forniamo), quindi questo tipo di problemi è più difficile che capiti. Per chi invece gestisce tanti clienti, e offre la possibilità di acquistare il servizio online senza passare per un commerciale, fare verifiche diventa più difficile.

1 Mi Piace

La PEC è obbligatoria!!!
https://www.legalmail.it/info/pec-obbligo-normativo.php

Noi quindi richiediamo o una PEC o un contratto cartaceo.
Soprattutto per avere qualcosa di ufficiale sulle deleghe al trattamento dei dati e alla firma.
La PEC la vogliamo dall’indirizzo email registrato in camera di commercio (se hai una partita IVA devi avere una PEC) che poi è quello a cui risali da https://www.inipec.gov.it/cerca-pec

Non è vero! Ci sono i liberi professionisti SENZA ORDINE PROFESSIONALE che non hanno alcun obbligo di legge.

2 Mi Piace

Esatto Paolo.
Proprio a loro mi riferivo nelle eccezioni.
E sono un pubblico abbastanza rilevante.

E non hanno neanche un’iscrizione al registro imprese ?

sono veramente tanti!!!

(AMMINISTRATORI DI CONDOMINIO, FISIOTERAPISTI, OFTALMOLOGI, PODOLOGI, PEDAGOGISTI, PSICOMOTRICISTI, MASSOFISIOTERAPISTI, OPTOMETRISTI, ESPERTI IN TECNICA ORTOPEDICA, GEOFISICI, PROGETTISTI ARCHITETTURA D’INTERNI, FOTOGRAFI PROFESSIONISTI, CONSULENTI INFORMATICI, CONSULENTI AZIENDALI, ETC)

i professionisti non sono imprenditori.

sono 6 anni come libero professionista, ho una pec, ma su inipec non compare

perchè la fonte dell’inipec non è autogestita ma si alimenta da registro delle imprese ed elenchi forniti da ordini professionali. Con l’attuazione del “domicilio digitale” le cose cambieranno.

1 Mi Piace

Noi abbiamo sviluppato e forniamo un API REST per la verifica di C.F. e P.IVA, che restituisce anche l’anagrafica della ditta.

Abbiamo inoltre un’API per effettuare anche la ricerca inversa: trovare P.IVA/C.F. da Ragione Sociale (ideale, per esempio, per l’auto completamento di form)