Conservazione Sostitutiva Insourcing

Enrico_Pietrobon · 29 Marzo 2019, 1:44pm

IO ho acquistato quello che dici tu, come rivenditore. Il problema grosso è che assistenza sotto zero.
Inviata una pec per chiedere qualche info, nemmeno mi hanno risposto. e sono passati 15 giorni.
Inoltre Prima di attivare il servizio avevo chiesto se era possibile gestire il tutto via FTP, In modo che il gestionale facesse tutto e inviasse i pacchetti al loro ftp automaticamente. E non con l’ausilio del portale. ( Ho clienti che quando gli parlo di portale mi chiedono per entrare dove.)

Loro natualmente dicono si si può fare. Poi una volta acquistato scopro che tramite FTP non vengono gestiti gli errori. Quindi se cè uno scarto da parte loro per qualsiasi motivo non lo posso sapere se non entrando nel portale.

Come puoi gestire una cosa così ?

daniele_m · 29 Marzo 2019, 2:15pm

come ha scritto @Enrico_Pietrobon il problema non è il costo ma l’assistenza.
sulle loro mail avevo riportato :
attivazione in 5 giorni, con la firma del contratto verrà contattato da un tecnico che le spiegherà il funzionamento del pannello, attiverà il servizio tramite web service e le darà le prima indicazioni su come procedere. sulla base di questo verrà poi fatturato l’importo necessario

in realtà hanno impiegato 3 settimane per l’attivazione. il pannello non andava, poi mancava il credito. poi il tecnico che doveva spiegare il funzionamento non esisteva… poi per procedere dovevo fare il pagamento anticipato e poi comprare i servizi stile carrello online da dentro il portale, più una serie di altre problematiche.
La chicca più grande è stata quando il tecnico mi ha contattato (dopo 1 mese e mezzo dal contratto) dicendomi che per attivare il servizio serve far firmare il contratto al cliente finale.
In pratica un contratto tra Aruba e il cliente dove è specificato che Aruba faceva xxxxx
cosa molto molto scomoda per chi rivende il servizio
abbiamo chiesto se potevamo firmare noi al posto del cliente tramite una delega/contratto tra noi e il cliente… dopo 1 mese di telefonate ed email senza una risposta, abbiamo disdetto.
Insomma, prezzi meravigliosi (65% in meno rispetto la concorrenza) ma assistenza zero. abbandonati alla firma del contratto… non oso pensare se succede un problema quando sei a regime.

mauro0206 · 29 Marzo 2019, 2:16pm

Scusa ma credo che non abbia senso che se il certificato scade, tutto ciò che hai precedentemente firmato con quel certificato non sia più a norma. se riesci a firnare un documento significa che in quel momento il certificato è valido ed è questo che interessa. Se il certificato scade quello che hai firmato in precedenza rimane valido in quanto firmato in corso di validità del certificato stesso… Se poi rinnovi il certificato prima che scada, tanto meglio, continuerai a firmare documenti con lo stesso certificato, ma se scade ed acquisti un altro certificato valido… nessun problema per i documenti firmati in precedenza con il certificato scaduto.

mauro0206 · 29 Marzo 2019, 2:24pm

Anche io sono interessato a farmi la conservazioni in casa… per la mia azienda e qualche cliente che si è affidato a me. Abbiamo analizzato diverse offerte di conservatori accreditati e francamente per la sola conservazione (senza il ciclo attivo e passivo delle fatture che già gestiamo in autonomia come intermediari SDI) hanno delle tariffe improponibili… Ci stiamo pensando seriamente, essendo noi una piccola azienda di informatica ma con tutte le conoscenze necessarie per falo.Sinceramente ci eravamo fermati al punto del dover essere societò di capitali con un capitale sociale minimo di 200.000 euro… ma qui dite che questa cosa vale solo per le aziende a cui la PA vuole dare la conservazione in outsourcing, corretto?
Leggerò con attenzione i documenti che avete qui citato e poi se posso dare un contributo a questo argomento, lo farò.
Saluti e buon lavoro.

daniele_m · 29 Marzo 2019, 3:20pm

Ciao Mauro,
semplicemente non saprei dirti sul certificato.
E’ una cosa che mi hanno detto il commerciale e il tecnico di Aruba.

tu firmi le fatture e quello non importa se il certificato scade o meno.
poi devi mettere i dati in pacchetti firmati con relativa marca temporale.
da quello che mi dicono però una marca temporale è valida fin tanto che il certificato è valido, una volta che il certificato scade, anche la marca temporale ha perso il suo valore in quanto potresti aver applicato la marca temporale con un certificato scaduto.

damiano_verzulli · 30 Marzo 2019, 7:24am

Per firmare digitalmente un documento, il certificato utilizzato per la firma DEVE essere un certificato VALIDO. Nel contesto di FatturaPA, per essere “valido” il certificato DEVE essere stato rilasciato da una “Certification Authority” opportuna (quindi il certificato NON puoi fartelo in casa), E deve essere NON-SCADUTO nel momento in cui lo si utilizza per “apporre” la firma sulla fattura.

Per “NON-SCADUTO” va inteso che la DATA/ORA indicata come “scadenza” all’interno del certificato DEVE essere successiva alla DATA/ORA impostata sul computer dove gira il software di firma. In altri termini, il “NON-SCADUTO” non serve a noi umani… ma serve semplicemente al software che appone la firma.

(…mentre scrivo mi viene in mente il classico caso in cui, in tempi non lontani, magari, ad 8 mesi dalle sue “dimissioni”, si richiamava il vecchio Amministratore Delegato di una azienda e gli si chiedeva “gentilmente” di firmare un documento che… riportava la data di 8 mesi prima)

È ESATTAMENTE per evitare questo (ossia, per dare al processo di firma una data/ora che sia “certificata”/“opponibile a terzi”) che… esiste il concetto di “marcatura temporale”.

La marcatura del “Pacchetto” che va in conservazione serve, appunto, a scolpire sul marmo una data/ora CERTA (relativa all’esistenza dei documenti contenuti nel pacchetto). Affinché ciò possa accadere --se ci pensi bene-- deve trattarsi necessariamente di un processo che coinvolge un soggetto terzo (…uno che si faccia garante del fatto che i suoi orologi non siano come quelli… del computer di cui sopra…) che quindi deve essere “certificato”. Tale certificazione va vista sia dal lato di chi lo abilita a rilasciare “timestamp” che hanno forza di legge (che lo include in appositi elenchi) sia dal lato dell’utente finale che ha bisogno di una marca termporale e vuole essere certo che quella marca arrivi proprio dal soggetto in esame… e non da qualcuno che si e’ “improvvisato” marcatore (…e quindi riconoscendone l’identità attraverso un apposito CERTIFICATO che certificata l’identità di colui che appone la marcatura temporale).

Quindi, quando si parla di MACATURA TEMPORALE di documentiin FIRMATI DIGITALMENTE, i certificati coinvolti sono DUE: quello tuo, che firma il documento, e quello dell’entità che marca (che deve essere risconociuta al momento dell’apposizione della data/ora e deve essere “allegata” al documento “marcato”).

In questo contesto, rispetto alle scadenze dei certificati:

quando scade il TUO certificato, i documenti che hai firmato prima della scadenza continuano ad essere perfettamente validi (ossia a riportare una firma “valida”). Semplicemente:
- tu non potrai firmare più NUOVI DOCUMENTI, perche’ il software di firma digitale si rifiutera’ di farlo, in quanto gli si chiederebbe di usare un certificato scaduto (…al netto del problema di sincronizzazione degli orologi);
- coloro che proveranno ad aprire i documenti che tu, storicamente, avevi firmato con il certificato che, ora, è scaduto, si vedranno comparire un messaggio che dice: “Occhio! Il certificato di firma è scaduto”. Questo NON è necessariamente un errore. E’ soltanto un messaggio che ti dice: “Occhio alla data del documento, perche’ se è successiva alla scadenza del certificato, allora la firma è stata apposta in modo invalido; viceversa se la data è antecedente alla scadenza del certificato, allora è tutto a posto”.
quando scade il certificato dell’entità che ha apposto la marcatura temporale, valgono le stesse considerazioni di cui sopra:
- se la data del documento è successiva alla data di scadenza del certificato, allora la marcatura è invalida. Viceversa…
- se la data del documento è antecedente alla data di scadenza del certificato, allora il documento è perfettamente “marcato”, anche se sono passati 10 anni dalla scadenza.

Quindi, SINTESI E CONCLUSIONE, quello che ti hanno detto, ossia questo:

è una sciocchezza.

Un saluto,
DV

damiano_verzulli · 30 Marzo 2019, 8:13am

C’e’ un TERZO ASPETTO che viene spesso trascurato, ma che secondo me è FONDAMENTALE: il “CONTROLLO” che si ha sul dato digitale, nel senso di “libertà di agire sul dato”.

Le domande che io mi farei, quindi, oltre a quelle già accennate:

Quanto mi costa il servizio di Conservazione Sostitutiva acquistato all’esterno?
Quanto mi costa realizzare “in-house” un servizio di Conservazione, per i miei documenti?

sono anche:

se compro il servizio all’esterno, ad esempio da X, con un contratto per N anni, che cosa puo’ succedere all’anno N+1?

o, meglio:

se compro il servizio all’eterno, da X, quali gradi di liberta’ ho sui documenti che ho affidato ad X?
- Posso “recuperarli” alla scadenza? Se si, in che modo, ed a quali costi?
- Posso “recuperarli” quando ne avrò bisogno? Se si, lo posso fare “da me”, real-time, oppure devo passare attraverso processi “umani” del fornitore che richiedono tempo? In ogni caso, il recupero e’ “gratis” o “a pagamento”?
- se dovessi mai decidere di cambiare fornitore (per qualsiasi motivo) quanto mi sarà facile fare lo switch? Ed a che costi?
- (…potrei continuare, ma il senso delle domande e’ ormai chiaro)

Se posso permettermi un commento personale, se io fossi un manager, l’outsourcing del servizio di Conservazione Sostitutiva sarebbe di gran lunga L’ULTIMO che prenderei in considerazione, almeno rispetto a tutto il resto che riguarda l’IT: il peso del “lock-in” sui DOCUMENTI, ossia sull’INFORMAZIONE, è di gran lunga superiore rispetto al peso del lock-in sull’INFRASTRUTTURA, che quei documenti e quelle informazioni “gestisce”.

In altri termini: un conto e’ dare a qualcuno il mio PC e le mie applicazioni chiededogli di gestirli, ma lasciando a me l’operatività sulle applicazioni E SUI DATI trattati.

Un altro conto e’ affidare a qualcuno l’archivio documentale della mia azienda e lasciare che questo qualcuno lo prenda (anche GRATIS), chiudendolo a chiave (con una sua chiave) e dicendomi qualcosa del tipo: “Ci penso io. Non ti preoccupare” e poi aggiungendo (forse): “Se hai bisogno di qualcosa, chiamami”.

Quando parlavamo di “Conservazione Sostitutiva” con il Prof. Del Romano una decina di anni fa… lo scenario era diverso: il “peso” della tecnologia sulle procedure di “creazione” e “sottomissione” del pacchetto era estremamente rilevante. A quell’epoca era quasi impossibile fare “conservazione sostitutiva” in-house. Da qualche anno, pero’, lo scenario è cambiato drasticamente, semplificandosi enormemente (sia tecnicamente che giuridicamente). Ed attualmente non vedo alcun motivo per cui… sia necessario adottarlo affidandolo all’esterno.

Bye,
DV

damiano_verzulli · 30 Marzo 2019, 8:17am

Sei sicuro?

Te lo chiedo perche’ la mia “versione” è che… se il certificato (associato ai documenti che hai mandato in conservazione) scade, allora:

i documenti che hai in conservazione restano PERFETTAMENTE CONSERVATI;
non puoi mandare in conservazione NUOVI documenti (firmati con il certificato scaduto);

E quindi, se vuoi mandare in conservazione “roba nuova”:

devi recuperare un certificato “valido” con il quale firmare i nuovi pacchetti da mandare in conservazione.

Se sbaglio, per cortesia, fammi notare dove.

Un saluto,
DV

dscaravaggi · 30 Marzo 2019, 10:15am

su questo tema, ci sono novità attese per Giugno Luglio quando lo SDI dovrà acettare le fatture in formato europeo e le firme potranno essere prese anche da uno di questi:
https://webgate.ec.europa.eu/tl-browser/#/

Enrico_Pietrobon · 30 Marzo 2019, 11:21am

Per quanto riguarda il certificato sono daccordo con @damiano_verzulli. Se io firmo adesso che il certificato e valido perchè quando il mio certificato scadrà, la firma che ho fatto quando il certificato era valido non dovrebbe esserlo più ?

Il problema del mio Thread però è un altro.
Per mandare in conservazione dei documenti mi pare servano 2 cose.
La firma digitale
La marca temporale.

Perchè continuate a dire che farsi la conservazione “in casa” ha dei costi elevati ?

La firma digitale ormai qualsiasi imprenditore la ha e il suo costo varia dai 30 € hai 70/80€ ogni 3 anni.
Le marche temporali le possono comprare chiunque. Con 50€ se fai la conservazione mensilmente vai avanti 20 anni.

Quindi la domanda rimane. Perchè farsi la conservazione deve avere un costo cosi alto ?
Sto tralasciando qualcosa ?

Paolo_Del_Romano · 30 Marzo 2019, 11:45am

non dimenticare:

il manuale della conservazione
l’indice dei documenti che permette una facile ricerca degli stessi

Enrico_Pietrobon · 30 Marzo 2019, 12:03pm

Ok. C’è altro ? Il manuale non penso sia un grande problema. mentre la possibilita di recuperare i documenti nemmeno. gia devi sviluppare la parte della conservazione sviluppi anche quella del recupero.

Parlo da sviluppatore, integrare nel mio gestionale la possibilità di archiviare i documenti utilizzando una firma digitale e una marca temporale acquistate da un azienda di servizi, a me pare una grande cosa.
Dai la possibilità ai tuoi clienti di archiviarsi i documenti da se.
E questa cosa la puoi fare pure pagare in aggiunta al contratto di assistenza che gli fornisci se ti va.
Non vedo la necessita di dover acquistare server o cose strane per farlo.

Io non la vedo assolutamente una cosa impossibile.

Paolo_Del_Romano · 30 Marzo 2019, 12:12pm

condivido…

damiano_verzulli · 30 Marzo 2019, 7:13pm

Dipende da che intendi per “elevati”. Dal mio punto di vista, ossia di un “tecnico” che capisce cio’ di cui si sta parlando e riesce pure a “valutarne” l’importanza strategica (fattori “non-economici”), il costo della soluzione “in-house” e’ risibile. Talmente basso che non c’e’ manco da riflettere. Si fa e basta.

Pero’ mi rendo conto che… la stessa valutazione, fatta da un imprenditore che si occupa di altro e che, magari, si e’ gia’ “scottato” ripetutamente rispetto ad aspetti “informatici” o che, peggio, e’ “consigliato” da qualcuno che, pur dichiarandosi “tecnico”, fa fatica ad inquadrare il contesto tecnico di cui parliamo (e che quindi finisce per presentare scenari semi-terrorizzanti o semi-fuorvianti)… sarebbe diversa.

Chiaramente sono d’accordo. Tuttavia, prima di proporlo al cliente “X”, mi assicurerei che il cliente “X” sia coscienzioso almeno al punto tale da avere uno straccio di backup (e a dispetto della banalità, questo (mio) prerequisito taglia almeno l’80/90% delle aziende con cui mi capita di avere a che fare).

Bye.
DV

Paolo_Del_Romano · 31 Marzo 2019, 9:30am

bisogna pure vedere se quella procedura di backup implementata è efficace (è una procedura automatica?, lo fa su una moltitudine di supporti? è ti tipo anche geografico? )

dscaravaggi · 1 Aprile 2019, 7:29am

Dipende da quello che Damiano ha scritto nel suo manuale di conservazione, nelle linee guida non ho visto obblighi ad adottare una precisa metodologia di backup.

daniele_m · 1 Aprile 2019, 7:32am

quello è quanto mi ha comunicato il tecnico di Aruba, vero o falso che sia non saprei.

su questo sito (non credo autorevole )
https://www.firma-facile.it/2010/11/30/la-validita-nel-tempo-di-un-documento-firmato/
scrivono :

Questa garanzia/certificazione è a scadenza, solitamente triennale, una volta scaduta non garantisce più financo i documenti firmati validamente nel passato, in quanto a fronte di una verifica (fatta con un client SW di verifica) la CA risponderà che “non garantisce più per Pippo”, oggi come ieri. In altre parole, se la certificazione di Pippo è scaduta, revocata, o sospesa, e non è possibile stabilire con certezza se Pippo ha firmato i documenti allorquando il certificato era valido, autenticità e integrità di un documento non sono garantiti, ergo il documento risulta privo di validità legale … come firma digitale (il suo valore probatorio sarà minore in quanto il firmatario potrà disconoscere la firma).

quindi in teoria avvalerebbe la tesi che se scade il certificato, non c’è modo di validare che i file messi precedentemente in scadenza erano validi.

dscaravaggi · 1 Aprile 2019, 8:49am

…ma “in teoria”… si va poco lontano,
Io suggerisco sempre di attenersi alle regole. ad esempio questo è un buon punto di partenza:

daniele_m · 1 Aprile 2019, 9:19am

la “teoria” permette di avere un punto di partenza.

Un documento per essere messo in conservazione deve essere firmato con un certificato valido.
il pacchetto di distribuzione deve essere quindi firmato con un certificato valido e deve essere applicata una marca temporale valida.

Fino a qui è una cosa appurata.

il problema è la parte successiva.
il certificato deve essere valido solo all’atto della firma o deve essere valido anche per la durata della conservazione?

come ha scritto @damiano_verzulli nel momento che firmi un documento con un certificato valido, il documento è correttamente firmato anche se il certificato scade due giorni dopo.

dall’altra parte c’è Aruba e il sito che ho riportato poco fa che riportano : in caso di verifica di un file correttamente firmato e validato 1 anno fa con un certificato scaduto ieri, la CA non darebbe garanzia sulla validità del file di conseguenza non ha validità legale. Ne consegue che per loro, per poter conservare dei documenti, il pacchetto deve avere un certificato che sia rinnovato continuamente nel tempo.

avb2b · 1 Aprile 2019, 9:20am

Riguardo alla validità di un documento dopo la scadenza del certificato…

Se oggi tizio firma con una firma valida. Domani muore. Impossibile rinnovare quindi il suo certificato. Il documento non è valido ? Direi che rimane valido…