Riporto di seguito il link al documento che contiene le osservazioni critiche del Garante per la Privacy sul nuovo strumento della Fattura Elettronica per raccogliere alcune riflessioni al riguardo
Provvedimento_30042018+.pdf
176.60 KB
Riporto di seguito il link al documento che contiene le osservazioni critiche del Garante per la Privacy sul nuovo strumento della Fattura Elettronica per raccogliere alcune riflessioni al riguardo
ad esempio il fatto che il canale trasmissivo FTP non piace e probabilmente dovrĂ essere abbandonato:
6.1. Canali di trasmissione e recapito delle fatture elettroniche
_Con riferimento alla sicurezza dei canali di trasmissione delle fatture elettroniche, si evidenzia che nel provvedimento n. 89757, sembrerebbe attualmente previsto lâutilizzo del protocollo FTP, che non è considerabile un canale sicuro. _
In proposito, il Garante ha, infatti, piĂš volte evidenziato le criticitĂ connesse allâutilizzo di tale protocollo in altri ambiti di trattamento, e anche prescritto allâAgenzia, giĂ dal 2008 e, da ultimo nel 2017, lâutilizzo di canali sicuri di trasmissione.
Occorre, pertanto, prevedere, anche nellâambito dello SDI, lâutilizzo di canali di connessione sicuri idonei a garantire un livello di sicurezza adeguato al rischio, in linea con quanto previsto dellâart. 32 del Regolamento.
Riprendendo lâesempio delle utenze: lâemittente può scegliere di non inviare i campi non fiscalmente rilevanti al SdI, che appunto sono facoltativi, in conformitĂ con la sua Informativa, inserendoli se obbligatori nella copia della fattura inviata al cliente per e-mail o mezzi analogici, in quanto la consegna di tale copia ai consumatori finali privi di P.IVA è ancora obbligatoria, salvo che rifiutino di riceverla, mentre per i dati di persone giuridiche il GDPR e la legge privacy nemmeno si applicano. Questa osservazione risolve inoltre la lamentela sullâuso del canale PEC.
Il provvedimento del Garante, chiede chiarimenti ma per ora non prescrive nessuna misura, e contiene un errore (oltre a quelli ortografici): lo SdI non usa il protocollo FTP classico ed insicuro, bensĂŹ il protocollo SFTP, sicuro in quanto cifrato.
Lâunica scelta criticherei allâAdE, non contemplata dal provvedimento, è lâavere imposto agli intermediari di esporre i web service per la ricezione delle notifiche e fatture sulla porta di default 443, quando ogni sistemista informatico direbbe che, per la sicurezza informatica, è consigliabile non utilizzare porte di default. Ă un vincolo tecnico che avrei preferito non avere, quando ho accreditato il mio canale trasmissivo presso lo SdI, per via di come sono configurati i miei sistemi.
beh! ma questo tuo rilievo è graveâŚpossibile che il Garante abbia fatto questo errore ?
Si, è indicato nelle specifiche del servizio SDIFTP:
http://www.fatturapa.gov.it/export/fatturazione/sdi/ftp/v4.0/Specifiche_tecniche_FTP_v4.0.pdf#page7 (punto 2.1).
Infatti il Garante parla al condizionale: âsembrerebbe attualmente previsto lâutilizzo del protocollo FTPâ. Probabilmente si sono fermati al nome del servizio.
Il provvedimento del Garante inoltre giustifica alcune richieste sulla base di âquanto emerso in alcune notizie stampaâ, quindi non credo abbiano condotto unâanalisi tecnica approfondita o letto la documentazione.
Del resto il provvedimento del Garante non prescrive nulla ma è solo una richiesta formale di chiarimenti.
se fosse cosĂŹ gli stessi stessi rilievi del Garante avrebbero lo stesso spessore delle âchiacchiere da barâ
Come ha giĂ osservato qualcuno in questâaltro thread:
Inizialmente era previsto lâuso del protocollo FTP⌠ed è probabilmente a questo che si riferiva il garante.
ma quello che conta è il protocollo che dal 1/1/2019 verrà utilizzato
Verrà utilizzato il protocollo SFTP, il passaggio da FTP a SFTP è stato fatto in giugno/luglio 2018.
Ma il provvedimento del Garante (novembre) è successivo di mesi al passaggio a SFTP (luglio)
Lo trovi nel testo del provvedimento: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9059949
6.1. Canali di trasmissione e recapito delle fatture elettroniche
Con riferimento alla sicurezza dei canali di trasmissione delle fatture elettroniche, si evidenzia che nel provvedimento n. 89757, sembrerebbe attualmente previsto lâutilizzo del protocollo FTP, che non è considerabile un canale sicuro.
Scrivono sembrerebbe. Secondo me sono in confusione anche loro con la marea di correzioni apportate in corsa. 176.60 KB
Inoltre citano il provvedimento n.89757 del 30/4/2018, quando ancora non si era passati su SFTP.
Provvedimento_30042018+.pdf
Inoltre citano il provvedimento n.89757 del 30/4/2018, quando ancora non si era passati su SFTP.
La burocrazia ha i suoi tempi lenti e quindi probabilmente il provvedimento emesso dal Garante non ha tenuto conto delle ultime modifiche
6.1. Canali di trasmissione e recapito delle fatture elettroniche
Con riferimento alla sicurezza dei canali di trasmissione delle fatture elettroniche, si evidenzia che nel provvedimento n. 89757, sembrerebbe attualmente previsto lâutilizzo del protocollo FTP, che non è considerabile un canale sicuro.Scrivono sembrerebbe. Secondo me sono in confusione anche loro con la marea di correzioni apportate in corsa.
Inoltre citano il provvedimento n.89757 del 30/4/2018, quando ancora non si era passati su SFTP.
https://www.agenziaentrate.gov.it/wps/wcm/connect/a8316033-6124-4667-99d8-ed143dc72c20/Provvedimento_30042018+.pdf?MOD=AJPERES&CACHEID=a8316033-6124-4667-99d8-ed143dc72c20
Vero, hanno citato un provvedimento di aprile quando câerano giĂ le specifiche aggiornate a luglio. Magari i provvedimenti del Garante vengono preparati nellâarco di molti mesi. Curioso che non abbiano ricontrollato prima di pubblicare il provvedimento.
Unâaltra cosa che mi lascia perplesso è lâuso del file contenente la richiesta di accredito per accedere allo strumento Gestire il canale, dal quale si possono consultare alcuni dati di tutte le fatture inviate fra cui la partita IVA/Codice Fiscale del trasmittente; il destinatario; data e ora di invio; gli endpoint del mittente e del destinatario; le notifiche scambiate.
Questo file funge da password ed è lâunica credenziale richiesta (non servono nemmeno le credenziali Entratel/Fisconline). Inoltre non viene trattato con la cura che si riserva ad una password: è scambiato almeno una volta tramite PEC; lâAdE può averne copia in chiaro; non si può mai cambiare e non scade come una password; non viene indicato che verrĂ usato come una password quando lo si riceve.
strumento Gestire il canale, dal quale si possono consultare alcuni dati di tutte le fatture inviate fra cui la partita IVA/Codice Fiscale del trasmittente; il destinatario; data e ora di invio; gli endpoint del mittente e del destinatario; le notifiche scambiate.
Scusa, dove le vedi queste informazioni?
Io le vedevo solo in fase di test, una volta passato in produzione, le uniche funzionalitĂ che vedo nella sezione âgestire il canaleâ sono:
Sul sito www.pmi.it leggo alcuni aggiornamenti sulla questione sollevata in questo thread che incollo:
Lâ Agenzia delle Entrate sta mettendo a punto le modifiche al sistema di fatturazione elettronica B2B in risposta ai rilievi formulati dal Garante Privacy lo scorso 16 novembre. Il provvedimento del Garante ha infatti evidenziato tutta una serie di criticitĂ in vista dellâobbligo, dal primo gennaio 2019, di emissione della fattura elettronica per tutte le operazioni fra privati.
In generale, i tecnici del Fisco stanno predisponendo correttivi che tutelano maggiormente i dati di chi emette e riceve fattura, sia sul fronte della compilazione sia su quello della trasmissione telematica.
In primis è prevista la messa in sicurezza del sistema attraverso varie misure: dal potenziamento dei server per evitare problemi o blocchi determinati dai picchi di traffico sul SdI (sistema di interscambio) alla predisposizione di canali piĂš sicuri dellâ FTP per la trasmissione delle fatture, per evitare perdite di dati o attacchi informatici.
Allo studio anche la possibilitĂ di togliere lâobbligo di conservazione delle fatture destinate ai clienti finali, lasciando eventualmente la possibilitĂ di scegliere. Per quanto riguarda la presenza in fattura di molti dati sensibili (beni e servizi acquistati, abitudini di consumo, descrizione delle prestazioni), si stanno studiano meccanismi simili a quelli previsti per i certificati sanitari (oscuramento campi).
La risposta dellâAgenzia ai vari punti sollevati dal Garante Privacy incamererĂ i correttivi in oggetto, su cui lâAuthority dovrĂ poi decidere esprimendo un nuovo parere. Con ogni probabilitĂ , se saranno rilevate persistenti o ulteriori criticitĂ , si provvederĂ a correggerle nel corso del 2019, senza proroghe alla partenza dellâobbligo a partire da gennaio.
Il Garante con provvedimento del 20/12/2018 da alcune prime risposte e fa alcune prescrizioni allâAdE sulla Fattura Elettronica
Bello che se ne accorgano adesso. Vado a memoria, ma mi pare di ricordare che le prime FE sono di almeno 5 anni fa.
Se stravolgono di nuovo tutto vado a farmi brillare davanti al Garante.