Buongiorno a tutti,
fate attenzione perché quello che è stato esposto a mio avviso va in violazione di quanto previsto dalla specifica.
Sul punto se si tratta di FatturaElettronica verso PA (FPA12), la specifica 1.2.1 (https://www.fatturapa.gov.it/export/fatturazione/sdi/Specifiche_tecniche_del_formato_FatturaPA_v1.2.1.pdf) prevedono che:
La fattura elettronica è intesa come un documento informatico non contenente
codice eseguibile né macroistruzioni; su di esso può essere apposta:
- firma digitale (obbligatoria nei casi di fattura destinata ad una Pubblica
Amministrazione) che garantisce autenticità dell’origine e integrità del
contenuto;
- firma XAdES con certificato di firma CA Agenzia delle Entrate (il cosiddetto
“sigillo” apposto dal sistema “Fatture e Corrispettivi”), che garantisce la sola
integrità del contenuto (ammesso nei soli casi di fattura destinata a privati).
Le specifiche 1.6 del sistema di interscambio (https://www.fatturapa.gov.it/export/fatturazione/sdi/Specifiche_tecniche_SdI_v1.6.pdf) invece dettagliano meglio che:
Il SdI accetta come fattura elettronica un documento informatico che:
- se destinato ad una pubblica amministrazione (art.1, comma 211, legge 24
dicembre 2007 n. 244), sia provvisto di un riferimento temporale e firmato
elettronicamente tramite un certificato di firma elettronica qualificata, non
contenente macroistruzioni o codici eseguibili tali da attivare funzionalità che
possano modificare gli atti, i fatti o i dati nello stesso rappresentati;
- se destinato ad un soggetto diverso da pubblica amministrazione (art. 1,
comma 2, decreto legislativo 127/2015), sia firmato o secondo la modalità
precedente, oppure in formato XAdES con certificato di firma CA Agenzia
delle Entrate.
Nel primo caso, il certificato di firma elettronica qualificata deve essere rilasciato da
un certificatore accreditato, presente nell’elenco pubblico dei certificatori gestito
dall’Agenzia per l’Italia Digitale così come disciplinato dall’art. 29, comma 1, del
DLGS 7 marzo 2005 n. 82 e successive modifiche. I formati ammessi per firmare
elettronicamente la fattura sono i seguenti:
- CAdES-BES (CMS Advanced Electronic Signatures) con struttura aderente
alla specifica pubblica ETSI TS 101 733 V1.7.4, così come previsto dalla
normativa vigente in materia a partire dal 1 settembre 2010;
- XAdES-BES (XML Advanced Electronic Signatures), con struttura aderente alla
specifica pubblica ETSI TS 101 903 versione 1.4.1, così come previsto dalla
normativa vigente in materia a partire dal 1 settembre 2010;
Conseguentemente se la FatturaElettronica va a una PA la firma può essere CAdES o XAdES ma il certificato di firma dovrà essere necessariamente qualificato.
Parrebbe inoltre che se dovesse essere possibile utilizzare il certificato non qualificato “CA Agenzia delle Entrate” il formato di firma non potrebbe che essere XAdES (sigillo).
Quest’ultima cosa però sembrerebbe andare in contraddizione con quanto previsto dalle specifiche 1.3 per la FE tra privati (FPR12) ( https://www.agenziaentrate.gov.it/wps/file/Nsilib/Nsi/Schede/Comunicazioni/Fatture+e+corrispettivi/Fatture+e+corrispettivi+ST/ST+invio+di+fatturazione+elettronica/ST+Fatturazione+elettronica+-+Allegato+A/Allegato+A_Specifiche+tecniche+vers+1.3.pdf) infatti in questo caso:
Il SdI gestisce sia fatture elettroniche prive di firma elettronica che fatture
elettroniche alle quali sia apposta firma elettronica.
Nel caso si scelga di apporre la firma elettronica, il SdI verifica che le fatture
elettroniche siano:
- firmate digitalmente con certificato di firma elettronica qualificata
rilasciato da un certificatore accreditato, presente nell’elenco
pubblico dei certificatori gestito dall’Agenzia per l’Italia Digitale così
come disciplinato dall’art. 29, comma 1, del DLGS 7 marzo 2005 n.
82 e successive modifiche. I formati ammessi per firmare
elettronicamente la fattura sono i seguenti:
o CAdES-BES (CMS Advanced Electronic Signatures) con
struttura aderente alla specifica pubblica ETSI TS 101 733
V1.7.4, così come previsto dalla normativa vigente in materia
a partire dal 1 settembre 2010;
o XAdES-BES (XML Advanced Electronic Signatures), con
struttura aderente alla specifica pubblica ETSI TS 101 903
versione 1.4.1, così come previsto dalla normativa vigente in
materia a partire dal 1 settembre 2010;
- firmate in formato CAdES con certificato di firma elettronica rilasciato
dall’Agenzia delle Entrate. Il certificato è rilasciato agli utenti del
Servizio Entratel e utilizzato sui propri sistemi ovvero sul proprio PC
attraverso Desktop telematico o Entratel Multifile. Si ricorda che
l’Agenzia delle Entrate non è una Certification Authority qualificata e
che, pertanto, la verifica di una firma elettronica basata sulle chiavi
pubbliche di firma e cifratura rilasciate dall’Agenzia delle Entrate
evidenzierebbe che la CA non è affidabile. E’ quindi opportuno che
chi appone tale tipo di firma elettronica sulle fatture che emette renda
consapevoli i propri clienti di questa circostanza e del fatto che la
verifica di questo tipo di firma può essere fatta solo utilizzando il
servizio di verifica di Agenzia delle Entrate
(https://telematici.agenziaentrate.gov.it/Abilitazione/IVerificaFile.jsp).
Conseguentemente in questo caso è possibile o no firmare la FE sia con certificato qualificato (CAdES o XAdES) che con “CA Agenzia delle Entrate” ma solo come CAdES (sigillo).
Concludendo, se è vero che per FE verso PA, occore la firma digitale (ovvero con certificato qualificato) si potrebbe anche scegliere di usare OpenSSL a patto che:
- Sia in grado di costruire una firma CAdES-BES, e ad oggi questo è possibile solo con delle patch (es. https://www.blia.it/firmadigitale/)
- Si disponga di un dispositivo sicuro di firma con un certificato qualificato istallato (Smartcard, HSM, forse anche Firma Remota)
OBIEZIONE: Ma lo SdI me lo accetta, allora va bene…
RISPOSTA: Evidentemente il servizio di verifica dello SdI non implementa completamente la specifica, con tutte le contraddizione che si palesano non mi sembra che questo sia il problema più rilevante