I rilievi del Garante della Privacy sulla fattura elettronica

Riporto di seguito il link al documento che contiene le osservazioni critiche del Garante per la Privacy sul nuovo strumento della Fattura Elettronica per raccogliere alcune riflessioni al riguardo

LINK

ad esempio il fatto che il canale trasmissivo FTP non piace e probabilmente dovrĂ  essere abbandonato:

6.1. Canali di trasmissione e recapito delle fatture elettroniche

_Con riferimento alla sicurezza dei canali di trasmissione delle fatture elettroniche, si evidenzia che nel provvedimento n. 89757, sembrerebbe attualmente previsto l’utilizzo del protocollo FTP, che non è considerabile un canale sicuro. _

In proposito, il Garante ha, infatti, più volte evidenziato le criticità connesse all’utilizzo di tale protocollo in altri ambiti di trattamento, e anche prescritto all’Agenzia, già dal 2008 e, da ultimo nel 2017, l’utilizzo di canali sicuri di trasmissione.

Occorre, pertanto, prevedere, anche nell’ambito dello SDI, l’utilizzo di canali di connessione sicuri idonei a garantire un livello di sicurezza adeguato al rischio, in linea con quanto previsto dell’art. 32 del Regolamento.

Riprendendo l’esempio delle utenze: l’emittente può scegliere di non inviare i campi non fiscalmente rilevanti al SdI, che appunto sono facoltativi, in conformità con la sua Informativa, inserendoli se obbligatori nella copia della fattura inviata al cliente per e-mail o mezzi analogici, in quanto la consegna di tale copia ai consumatori finali privi di P.IVA è ancora obbligatoria, salvo che rifiutino di riceverla, mentre per i dati di persone giuridiche il GDPR e la legge privacy nemmeno si applicano. Questa osservazione risolve inoltre la lamentela sull’uso del canale PEC.

Il provvedimento del Garante, chiede chiarimenti ma per ora non prescrive nessuna misura, e contiene un errore (oltre a quelli ortografici): lo SdI non usa il protocollo FTP classico ed insicuro, bensĂŹ il protocollo SFTP, sicuro in quanto cifrato.

L’unica scelta criticherei all’AdE, non contemplata dal provvedimento, è l’avere imposto agli intermediari di esporre i web service per la ricezione delle notifiche e fatture sulla porta di default 443, quando ogni sistemista informatico direbbe che, per la sicurezza informatica, è consigliabile non utilizzare porte di default. È un vincolo tecnico che avrei preferito non avere, quando ho accreditato il mio canale trasmissivo presso lo SdI, per via di come sono configurati i miei sistemi.

1 Mi Piace

beh! ma questo tuo rilievo è grave…possibile che il Garante abbia fatto questo errore ?

Si, è indicato nelle specifiche del servizio SDIFTP:
http://www.fatturapa.gov.it/export/fatturazione/sdi/ftp/v4.0/Specifiche_tecniche_FTP_v4.0.pdf#page7 (punto 2.1).

Infatti il Garante parla al condizionale: “sembrerebbe attualmente previsto l’utilizzo del protocollo FTP”. Probabilmente si sono fermati al nome del servizio.

Il provvedimento del Garante inoltre giustifica alcune richieste sulla base di “quanto emerso in alcune notizie stampa”, quindi non credo abbiano condotto un’analisi tecnica approfondita o letto la documentazione.

Del resto il provvedimento del Garante non prescrive nulla ma è solo una richiesta formale di chiarimenti.

se fosse così gli stessi stessi rilievi del Garante avrebbero lo stesso spessore delle “chiacchiere da bar” :disappointed_relieved:

1 Mi Piace

Come ha già osservato qualcuno in quest’altro thread:


Inizialmente era previsto l’uso del protocollo FTP… ed è probabilmente a questo che si riferiva il garante.

1 Mi Piace

ma quello che conta è il protocollo che dal 1/1/2019 verrà utilizzato

Verrà utilizzato il protocollo SFTP, il passaggio da FTP a SFTP è stato fatto in giugno/luglio 2018.

1 Mi Piace

Ma il provvedimento del Garante (novembre) è successivo di mesi al passaggio a SFTP (luglio)

Lo trovi nel testo del provvedimento: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9059949

6.1. Canali di trasmissione e recapito delle fatture elettroniche
Con riferimento alla sicurezza dei canali di trasmissione delle fatture elettroniche, si evidenzia che nel provvedimento n. 89757, sembrerebbe attualmente previsto l’utilizzo del protocollo FTP, che non è considerabile un canale sicuro.

Scrivono sembrerebbe. Secondo me sono in confusione anche loro con la marea di correzioni apportate in corsa.
Inoltre citano il provvedimento n.89757 del 30/4/2018, quando ancora non si era passati su SFTP.

La burocrazia ha i suoi tempi lenti e quindi probabilmente il provvedimento emesso dal Garante non ha tenuto conto delle ultime modifiche

Vero, hanno citato un provvedimento di aprile quando c’erano già le specifiche aggiornate a luglio. Magari i provvedimenti del Garante vengono preparati nell’arco di molti mesi. Curioso che non abbiano ricontrollato prima di pubblicare il provvedimento.

Un’altra cosa che mi lascia perplesso è l’uso del file contenente la richiesta di accredito per accedere allo strumento Gestire il canale, dal quale si possono consultare alcuni dati di tutte le fatture inviate fra cui la partita IVA/Codice Fiscale del trasmittente; il destinatario; data e ora di invio; gli endpoint del mittente e del destinatario; le notifiche scambiate.

Questo file funge da password ed è l’unica credenziale richiesta (non servono nemmeno le credenziali Entratel/Fisconline). Inoltre non viene trattato con la cura che si riserva ad una password: è scambiato almeno una volta tramite PEC; l’AdE può averne copia in chiaro; non si può mai cambiare e non scade come una password; non viene indicato che verrà usato come una password quando lo si riceve.

Scusa, dove le vedi queste informazioni?
Io le vedevo solo in fase di test, una volta passato in produzione, le uniche funzionalità che vedo nella sezione “gestire il canale” sono:

  • Visualizzare Accordo di servizio
  • Modificare i riferimenti del canale
  • Revocare il canale
  • Generare nuovi certificati (solo SDICoop)
  • Richiesta codici destinatario B2B
1 Mi Piace

Francesco Pizzetti, il Garante delle Privacy scrive sulla Fattura Elettronica
LINK

Sul sito www.pmi.it leggo alcuni aggiornamenti sulla questione sollevata in questo thread che incollo:


L’ Agenzia delle Entrate sta mettendo a punto le modifiche al sistema di fatturazione elettronica B2B in risposta ai rilievi formulati dal Garante Privacy lo scorso 16 novembre. Il provvedimento del Garante ha infatti evidenziato tutta una serie di criticità in vista dell’obbligo, dal primo gennaio 2019, di emissione della fattura elettronica per tutte le operazioni fra privati.

In generale, i tecnici del Fisco stanno predisponendo correttivi che tutelano maggiormente i dati di chi emette e riceve fattura, sia sul fronte della compilazione sia su quello della trasmissione telematica.

In primis è prevista la messa in sicurezza del sistema attraverso varie misure: dal potenziamento dei server per evitare problemi o blocchi determinati dai picchi di traffico sul SdI (sistema di interscambio) alla predisposizione di canali più sicuri dell’ FTP per la trasmissione delle fatture, per evitare perdite di dati o attacchi informatici.

Allo studio anche la possibilità di togliere l’obbligo di conservazione delle fatture destinate ai clienti finali, lasciando eventualmente la possibilità di scegliere. Per quanto riguarda la presenza in fattura di molti dati sensibili (beni e servizi acquistati, abitudini di consumo, descrizione delle prestazioni), si stanno studiano meccanismi simili a quelli previsti per i certificati sanitari (oscuramento campi).

La risposta dell’Agenzia ai vari punti sollevati dal Garante Privacy incamererà i correttivi in oggetto, su cui l’Authority dovrà poi decidere esprimendo un nuovo parere. Con ogni probabilità, se saranno rilevate persistenti o ulteriori criticità, si provvederà a correggerle nel corso del 2019, senza proroghe alla partenza dell’obbligo a partire da gennaio.

1 Mi Piace

Il Garante con provvedimento del 20/12/2018 da alcune prime risposte e fa alcune prescrizioni all’AdE sulla Fattura Elettronica

LINK

1 Mi Piace

Bello che se ne accorgano adesso. Vado a memoria, ma mi pare di ricordare che le prime FE sono di almeno 5 anni fa.
Se stravolgono di nuovo tutto vado a farmi brillare davanti al Garante. :joy::rofl: