Ciao a tutti.
Chiedo scusa per l’apertura di un ulteriore post sulla firma digitale, ma le varie discussioni mi hanno creato confusione.
Quello che ho capito:
non si possono firmare le fatture con i certificati che sono stati forniti con la richiesta di accreditamento del canale (nel mio caso SDICoop)
per firmare le fatture senza l’utilizzo di un token usb o smart card (quindi senza la persona fisica) è necessario richiedere un certificato di firma remota apposito ad un ente riconosciuto
Domande:
1 - sembra che si possa richiedere un certificato rilasciato dall’Agenzia delle Entrate per firmare in modo automatico le fatture (solo per utenti entratel). In che modo si richiede tale certificato e per quali canali è valido?
Nelle specifiche tecniche viene riportato che le firme apposte con tale certificato vengono verificate solo dal loro servizio, di preciso “che la verifica di questo tipo di firma può essere fatta solo utilizzando il servizio di verifica di Agenzia delle Entrate”.
Tali firme risulterebbero valide se spedite tramite il canale SDICoop?
(tra l’altro di questo certificato ho trovato riscontro solo nelle specifiche tecniche, nel sito dell’agenzia sembra non esistere)
2 - nella discussione Firma automatica File PA : Apache parlano dei certificati di firma che vengono rilasciati in caso di accreditamento canale SDIFTP. E’ possibile averli senza dover accreditare anche quel canale (nel nostro caso non verrebbe utilizzato)?
3 - oltre ai certificati di firma remota e a quelli per il canale SDIFTP ci sono altri modi per firmare in modo automatico, ossia senza la necessità di una persona fisica?
Ciao Sersis,
A breve passeremo in produzione e, se tutto funziona,
Aggiorneremo il tread apache firma con openssl.
Ma puoi riassumere il tutto in un unica domanda ?
Ciao.
Premessa:
Il mio scopo è riuscire a firmare le fatture in modo automatico, senza token usb o smartcard, per poi inviarle tramite il canale.
So che ci sono i certificati di firma remota e ho capito che con il canale SDIFTP (che noi non usiamo) vengono dati dei certificati che sembrano essere adatti per la firma.
Domanda:
Ci sono altri modi per firmare in modo automatico e qualcuno sa qualcosa del certificato rilasciato dall’Agenzia delle Entrate per utenti entratel?
Non l’ho testato personalmente, ma altri qui sul forum dicono che si possa usare il certificato dell’ambiente di sicurezza del programma Entratel.
Per poterlo avere devi richiedere all’Agenzia delle Entrate l’abilitazione all’uso del programma Entratel: https://assistenza.agenziaentrate.gov.it/assistenza/index.asp?idFolder=471&idServ=1
All’interno del programma c’è una funzione di “generazione dell’ambiente di sicurezza”. Questo ti fa creare un certificato per la firma elettronica e la relativa chiave privata che vengono salvati in locale.
Questo certificato viene di norma usato per firmare tutti i file che vengono inviati col programma Entratel, ma si può usare anche per firmare le fatture elettroniche.
Un utente in un altro thread diceva che la chiave privata è protetta da una password che è uguale a quella inserita per l’ambiente di sicurezza, ma con tutti i caratteri maiuscoli.
Esatto. Il SdI accetta e considera valide le fatture firmate con questo certificato.
L’unico inconveniente è che se un eventuale destinatario prova a verificare la firma con uno dei vari software per la firma digitale, gliela dà come non valida (perché non è una firma qualificata). Però, per quel che riguarda il SdI, sei a posto, e la fattura può essere comunque verificata sul sito dell’AdE.
Penso che non sia possibile ottenerli in un altro modo, anche perché il loro scopo non era di firmare le fatture… è stata una scoperta casuale da parte degli utenti.
Faccio presente che le informazioni che ho riportato qui sono tutte di seconda mano. Questo è quello che ho concluso io leggendo i vari topic in questo forum, ma non ho provato di persona.
Quindi suppongo che il documento passi i controlli del SdI e venga inoltrato, ma il ricevente si ritrovi con il suo programma che gli segnala che la firma non è valida.
EDIT: e ci vuole tanto a fare un decretino che inserisca l’AgE tra gli accreditati a rilasciare i certificati con deroga sulla conservazione della chiave privata?
È quello di cui avvisa l’AdE nelle specifiche tecniche per le fatture tra privati: le fatture FPR12 (e presumo FSM10) firmate con i certificati dell’AdE (lì parlavano solo del certificato Entratel, ma la cosa vale anche per quello SFTP), vengono accettate dal SdI, ma la firma risulta non valida se verificata con programmi di terzi (non trattandosi di firma qualificata). Per citare le specifiche:
E’ quindi opportuno che chi appone tale tipo di firma elettronica sulle fatture che emette renda
consapevoli i propri clienti di questa circostanza e del fatto che la verifica di questo tipo di firma può essere fatta solo utilizzando il servizio di verifica di Agenzia delle Entrate.
Buongiorno ragazzi, rianimo questo post fermo da 3 anni.
Fino ad oggi facevamo firmare gli XML PA ai clienti con le loro firme personali, parecchi ci stanno chiedendo di poter bypassare e per velocizzare di creare un meccanismo automatico di firma.
La prima domanda è: come penso e spero e possibile che io firmi le fatture dei miei clienti? ( se si ho bisogno di un consenso/autorizzazione scritta?)
La seconda : Che cosa mi consigliate come firma? ( sia economicamente che tecnicamente) leggendo un po in giro la soluzione piu economica resta l’acquisto di una firma dedicata alla firma di fatture elettroniche e collegarla ad un server fisico. Ma attendo vostre esperienze.
Per la prima domanda, la risposta è sì, puoi firmare le fatture dei tuoi clienti. Devi aggiungere la sezione <TerzoIntermediarioOSoggettoEmittente> con i tuoi dati e aggiungere l’elemento <SoggettoEmittente>TZ</SoggettoEmittente>.
La regola è che la fattura la firma chi la emette e aggiungendo questi elementi indichi che la stai emettendo tu per conto del cliente e quindi puoi apporre la tua firma.
Sul fatto se sia necessaria un’autorizzazione scritta, non so dirti, ma presumo di sì.
Su come automatizzare la cosa, non so dirti. Noi avevamo iniziato a pensarci, ma alla fine i nostri clienti fanno poche fattura alla PA per cui non ce n’è stato bisogno. Ne abbiamo alcuni (pochi per fortuna) che ci chiedono di firmare le fatture per conto loro, ma lo facciamo a mano.
E questa è una domanda che mi sono sempre posto (e che avevo scritto un po’ di tempo fa qui nel forum, vediamo se nel frattempo c’è qualche spunto in più): ma io mi devo prendere la responsabilità di diventare l’emittente della fattura e firmare la fattura di un cliente, non sapendo quel cliente “cosa combina” (se dichiara il vero o il falso, ecc.)?
Ho veramente l’impressione che questo modus operandi, per risparmiare al cliente una firma, sia di fatto una forzatura della firma digitale che, in caso di contenzioso, potrebbe ritorcersi contro di me perché sono io che ho emesso quella fattura e l’ho firmata… Non capisco come in molti, anche grossi provider, operino così alla leggera. Spero che abbiano dei termini di servizio legalmente blindati per togliersi ogni responsabilità, posto che poi bisognerebbe anche vedere se sono effettivamente validi.
Alla fine è una questione di contratti. Lo stesso problema ce l’hai come intermediario se le fatture non vengono firmate per niente. L’utente potrebbe sempre asserire che hai modificato la fattura prima di spedirla. L’unico modo per essere sicuro sarebbe costringere l’utente a firmare ogni singola fattura che spedisce, ma a quel punto perderesti clienti a favore di un servizio più “user friendly” che non li costringe a farlo.
Questo è vero. Però sai, in quel caso lui deve dimostrare che io gli ho modificato la fattura. Nell’altro c’è una mia firma esplicita (non ripudiabile) su una fattura di cui peraltro mi dichiaro come terzo intermediario…
Mi chiedo anche se non ci sia una procedura “formale” per diventare terzi intermediari. Gli “intermediari” in genere non vanno dichiarati all’AdE, mediante opportuna modulistica (vedi ad esempio i commercialisti)? Trattasi di due tipi di intermediari diversi?
Personalmente trovo che su questa cosa ci sia parecchia confusione. Più del necessario…
Nessuno che possa proporre qualche servizio ( di firma) da esaminare ??? Penso che in tanti ormai ne avranno gia esperienza pregressa. Mi aspettavo piu risposte e/o dritte.
Vai sul sito del governo e trova gli enti certificati alla firma. Molti danno anche API da poter usare come web services.
Per firmare ti basta una delega, da depositare.
