Situazione:
noi come azienda che fornisce un software gestionale con il quale è possibile per l’utente a ricevere le fatture elettroniche in entrata, abbiamo un codice univoco che comunichiamo all’utente che lo comunica poi ai propri fornitori. In questo modo l’utente potrà ricevere le fatture del fornitore all’interno del software gestionale.
Problema:
il software gestionale ha centinaia di utenti diversi, con partite ive diverse mentre noi forniamo un codice univoco solo. Come possibile identificare e differenziare con sicurezza un utente dall’altro per assicurare che le fatture vengano fornite ai utenti giusti? Tramite p.iva non è possibile, per che un utente potrebbe semplicemente specificare la p.iva di un’altro utente e ricevere così fatture che non sono sue.
Non c’è alternativa a farlo in base alla partita iva.
Semplicemente la partita iva dovrete inserirla voi e dovrete bloccarne la modifica da parte dell’utente.
Se ci pensi bene, lo stesso problema ce l’avresti anche con il codice destinatario… cos’è che impedirebbe ad un utente di inserire un codice destinatario non suo? Probabilmente il fatto che lo impostate e voi e lui non può modificarlo. Stessa cosa per la partita iva.
Non capisco lo scenario in cui un “malicious user” (per dirla alla Microsoft ) potrebbe ricevere fatture non sue:
se fornisci tu il gestionale sei tu che acquisisci la partita iva e che fai il recapito dopo aver ricevuto la fattura da SdI tramite il codice univoco.
Alice fattura a Bob. Bob e Eve sono tuoi clienti.
Alice ----> SdI
SdI —> @Fabian @Fabian -----> Bob
Se Eve ti comunicasse di avere la partita Iva di Bob potresti accorgertene immediatamente con una visura o controllando sul sito dell’AdE o perchè già l’hai in archivio assegnata a Bob.
p.s.: Resta il fatto che tramite il cassetto fiscale posso impostare il canale attraverso cui riceverla indipendentemente dai parametri che vengono inseriti nella fattura da chi la invia
Quando un cliente ti fornisce la delega per gestuire la fatturazione elettronica a suo nome (quindi utilizzando il tuo codice univoco per inviare e ricevere) ovviamente gli richiedi anche la partita IVA e il codice fiscale. Non vedo perchè un cliente dovrebbe indicarti una p.IVA non sua.
Noi di Debitoor facciamo controlli sul formato della partita IVA e sull’eventualità di doppioni di partite IVA o codici fiscali.
Se però un cliente ci indicasse una partita IVA non sua e non di un altro nostro cliente… non potremmo farci niente noi.
Resta il fatto che le fatture arrivano comunque su fatture e corrispettivi utilizzando codice fiscale e partita iva del destinatario, quindi il diretto interessa la riceve comunque.
Bene Marco, se su Debitoor (che secondo me è uno dei migliori) avete alzato bandiera bianca di fronte alla possibilità di impostori nelle deleghe, allora ci sentiamo tranquilli nel farlo pure noi. Avevo già il lenzuolo e l’asta ma non avevo il coraggio di unirli e sventolarli, ora capisco che qualsiasi soluzione sarebbe più una folle seccatura per il 99,9% onesto che per lo 0.1% che si potrebbe spacciare per un altro. Ma d’altra parte, col cartaceo, tre mesi fa avrei potuto fare una fattura da chiunque a chiunque altro…
Noi abbiamo introdotto un ulteriore meccanismo di sicurezza proprietario alla nostra soluzione e quindi indipendente dal SdI, dove il “proprietario” della partita IVA, nel caso in cui un’altro utente dovesse inserirla nelle proprie impostazioni, deve confermare che questo utente è autorizzato a farlo.
Resta da dire che esiste una bella differenza tra emissione di una fattura cartacea con una partita IVA di un’altro soggetto e l’invio, ma soprattuto la ricezione, di una fattura elettronica attraverso una partita IVA di un altro soggetto…
Perché no? In quasi tutti i casi di servizi online (e anche offline) se si presenta qualcuno dicendo “questa è la mia partita IVA” viene creduto. Del resto come faresti a verificare? Dovresti fare qualcosa tipo richiedere la firma elettronica del rappresentante legale. Non essendoci l’obbligo per legge, finisci solo per perdere clienti perché scelgono un fornitore che gli fa meno storie.
Secondo me questa cosa andrebbe fatta dall’AdE. Invece di permettere, opzionalmente, di indicare il proprio canale preferito per la ricezione, dovrebbero obbligare di indicare i canali autorizzati sia per la ricezione che per l’invio. In mancanza di queste indicazioni si potrebbe inviare e ricevere solo attraverso il portale F&C.
No, io chiedevo solo perché praticamente stiamo facendo tutti in questo modo e quindi la tua risposta è quella che avrei dato pure io.
In realtà ci sarebbe la possibilità di chiedere la pec ufficiale dell’impresa a servizi web ad hoc, ma sono a pagamento, oppure se liberi sono pagine difficilissime da inglobare in un contesto esterno… ma anche lì: la pec non è obbligatoria per tutte le imprese, ci sarebbero comunque eccezioni.
Questo può essere utile per identificare errori di inserimento della p.iva (anche se è difficile che uno sbagli la propria e ottenga pure un’altra valida), ma un delinquente presumo starà attento a fornire la ragione sociale corrispondente alla p.iva.
La verifica è automatizzabile con difficoltà. Primo c’è il captcha. Secondo, la ragione sociale viene spesso scritta con varianti diverse, quindi bisogna introdurre euristiche.
Poi dipende anche dalle dimensioni che hai. Noi i nostri clienti li gestiamo manualmente e abbiamo con loro un rapporto molto più personale (è il valore aggiunto che forniamo), quindi questo tipo di problemi è più difficile che capiti. Per chi invece gestisce tanti clienti, e offre la possibilità di acquistare il servizio online senza passare per un commerciale, fare verifiche diventa più difficile.
Noi quindi richiediamo o una PEC o un contratto cartaceo.
Soprattutto per avere qualcosa di ufficiale sulle deleghe al trattamento dei dati e alla firma.
La PEC la vogliamo dall’indirizzo email registrato in camera di commercio (se hai una partita IVA devi avere una PEC) che poi è quello a cui risali da https://www.inipec.gov.it/cerca-pec
perchè la fonte dell’inipec non è autogestita ma si alimenta da registro delle imprese ed elenchi forniti da ordini professionali. Con l’attuazione del “domicilio digitale” le cose cambieranno.
Noi abbiamo sviluppato e forniamo un API REST per la verifica di C.F. e P.IVA, che restituisce anche l’anagrafica della ditta.
Abbiamo inoltre un’API per effettuare anche la ricerca inversa: trovare P.IVA/C.F. da Ragione Sociale (ideale, per esempio, per l’auto completamento di form)