I rilievi del Garante della Privacy sulla fattura elettronica

ad esempio il fatto che il canale trasmissivo FTP non piace e probabilmente dovrà essere abbandonato:

6.1. Canali di trasmissione e recapito delle fatture elettroniche

_Con riferimento alla sicurezza dei canali di trasmissione delle fatture elettroniche, si evidenzia che nel provvedimento n. 89757, sembrerebbe attualmente previsto l’utilizzo del protocollo FTP, che non è considerabile un canale sicuro. _

In proposito, il Garante ha, infatti, più volte evidenziato le criticità connesse all’utilizzo di tale protocollo in altri ambiti di trattamento, e anche prescritto all’Agenzia, già dal 2008 e, da ultimo nel 2017, l’utilizzo di canali sicuri di trasmissione.

Occorre, pertanto, prevedere, anche nell’ambito dello SDI, l’utilizzo di canali di connessione sicuri idonei a garantire un livello di sicurezza adeguato al rischio, in linea con quanto previsto dell’art. 32 del Regolamento.

Riprendendo l’esempio delle utenze: l’emittente può scegliere di non inviare i campi non fiscalmente rilevanti al SdI, che appunto sono facoltativi, in conformità con la sua Informativa, inserendoli se obbligatori nella copia della fattura inviata al cliente per e-mail o mezzi analogici, in quanto la consegna di tale copia ai consumatori finali privi di P.IVA è ancora obbligatoria, salvo che rifiutino di riceverla, mentre per i dati di persone giuridiche il GDPR e la legge privacy nemmeno si applicano. Questa osservazione risolve inoltre la lamentela sull’uso del canale PEC.

Il provvedimento del Garante, chiede chiarimenti ma per ora non prescrive nessuna misura, e contiene un errore (oltre a quelli ortografici): lo SdI non usa il protocollo FTP classico ed insicuro, bensì il protocollo SFTP, sicuro in quanto cifrato.

L’unica scelta criticherei all’AdE, non contemplata dal provvedimento, è l’avere imposto agli intermediari di esporre i web service per la ricezione delle notifiche e fatture sulla porta di default 443, quando ogni sistemista informatico direbbe che, per la sicurezza informatica, è consigliabile non utilizzare porte di default. È un vincolo tecnico che avrei preferito non avere, quando ho accreditato il mio canale trasmissivo presso lo SdI, per via di come sono configurati i miei sistemi.

1 Mi Piace

beh! ma questo tuo rilievo è grave…possibile che il Garante abbia fatto questo errore ?

Si, è indicato nelle specifiche del servizio SDIFTP:
http://www.fatturapa.gov.it/export/fatturazione/sdi/ftp/v4.0/Specifiche_tecniche_FTP_v4.0.pdf#page7 (punto 2.1).

Infatti il Garante parla al condizionale: “sembrerebbe attualmente previsto l’utilizzo del protocollo FTP”. Probabilmente si sono fermati al nome del servizio.

Il provvedimento del Garante inoltre giustifica alcune richieste sulla base di “quanto emerso in alcune notizie stampa”, quindi non credo abbiano condotto un’analisi tecnica approfondita o letto la documentazione.

Del resto il provvedimento del Garante non prescrive nulla ma è solo una richiesta formale di chiarimenti.

se fosse così gli stessi stessi rilievi del Garante avrebbero lo stesso spessore delle “chiacchiere da bar” :disappointed_relieved:

1 Mi Piace

Come ha già osservato qualcuno in quest’altro thread:


Inizialmente era previsto l’uso del protocollo FTP… ed è probabilmente a questo che si riferiva il garante.

1 Mi Piace

ma quello che conta è il protocollo che dal 1/1/2019 verrà utilizzato

Verrà utilizzato il protocollo SFTP, il passaggio da FTP a SFTP è stato fatto in giugno/luglio 2018.

1 Mi Piace

Ma il provvedimento del Garante (novembre) è successivo di mesi al passaggio a SFTP (luglio)

Lo trovi nel testo del provvedimento: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9059949

6.1. Canali di trasmissione e recapito delle fatture elettroniche
Con riferimento alla sicurezza dei canali di trasmissione delle fatture elettroniche, si evidenzia che nel provvedimento n. 89757, sembrerebbe attualmente previsto l’utilizzo del protocollo FTP, che non è considerabile un canale sicuro.

Scrivono sembrerebbe. Secondo me sono in confusione anche loro con la marea di correzioni apportate in corsa.
Inoltre citano il provvedimento n.89757 del 30/4/2018, quando ancora non si era passati su SFTP.

La burocrazia ha i suoi tempi lenti e quindi probabilmente il provvedimento emesso dal Garante non ha tenuto conto delle ultime modifiche

Vero, hanno citato un provvedimento di aprile quando c’erano già le specifiche aggiornate a luglio. Magari i provvedimenti del Garante vengono preparati nell’arco di molti mesi. Curioso che non abbiano ricontrollato prima di pubblicare il provvedimento.

Un’altra cosa che mi lascia perplesso è l’uso del file contenente la richiesta di accredito per accedere allo strumento Gestire il canale, dal quale si possono consultare alcuni dati di tutte le fatture inviate fra cui la partita IVA/Codice Fiscale del trasmittente; il destinatario; data e ora di invio; gli endpoint del mittente e del destinatario; le notifiche scambiate.

Questo file funge da password ed è l’unica credenziale richiesta (non servono nemmeno le credenziali Entratel/Fisconline). Inoltre non viene trattato con la cura che si riserva ad una password: è scambiato almeno una volta tramite PEC; l’AdE può averne copia in chiaro; non si può mai cambiare e non scade come una password; non viene indicato che verrà usato come una password quando lo si riceve.

Scusa, dove le vedi queste informazioni?
Io le vedevo solo in fase di test, una volta passato in produzione, le uniche funzionalità che vedo nella sezione “gestire il canale” sono:

  • Visualizzare Accordo di servizio
  • Modificare i riferimenti del canale
  • Revocare il canale
  • Generare nuovi certificati (solo SDICoop)
  • Richiesta codici destinatario B2B
1 Mi Piace

Francesco Pizzetti, il Garante delle Privacy scrive sulla Fattura Elettronica
LINK

Sul sito www.pmi.it leggo alcuni aggiornamenti sulla questione sollevata in questo thread che incollo:


L’ Agenzia delle Entrate sta mettendo a punto le modifiche al sistema di fatturazione elettronica B2B in risposta ai rilievi formulati dal Garante Privacy lo scorso 16 novembre. Il provvedimento del Garante ha infatti evidenziato tutta una serie di criticità in vista dell’obbligo, dal primo gennaio 2019, di emissione della fattura elettronica per tutte le operazioni fra privati.

In generale, i tecnici del Fisco stanno predisponendo correttivi che tutelano maggiormente i dati di chi emette e riceve fattura, sia sul fronte della compilazione sia su quello della trasmissione telematica.

In primis è prevista la messa in sicurezza del sistema attraverso varie misure: dal potenziamento dei server per evitare problemi o blocchi determinati dai picchi di traffico sul SdI (sistema di interscambio) alla predisposizione di canali più sicuri dell’ FTP per la trasmissione delle fatture, per evitare perdite di dati o attacchi informatici.

Allo studio anche la possibilità di togliere l’obbligo di conservazione delle fatture destinate ai clienti finali, lasciando eventualmente la possibilità di scegliere. Per quanto riguarda la presenza in fattura di molti dati sensibili (beni e servizi acquistati, abitudini di consumo, descrizione delle prestazioni), si stanno studiano meccanismi simili a quelli previsti per i certificati sanitari (oscuramento campi).

La risposta dell’Agenzia ai vari punti sollevati dal Garante Privacy incamererà i correttivi in oggetto, su cui l’Authority dovrà poi decidere esprimendo un nuovo parere. Con ogni probabilità, se saranno rilevate persistenti o ulteriori criticità, si provvederà a correggerle nel corso del 2019, senza proroghe alla partenza dell’obbligo a partire da gennaio.

1 Mi Piace

Il Garante con provvedimento del 20/12/2018 da alcune prime risposte e fa alcune prescrizioni all’AdE sulla Fattura Elettronica

LINK

1 Mi Piace

Bello che se ne accorgano adesso. Vado a memoria, ma mi pare di ricordare che le prime FE sono di almeno 5 anni fa.
Se stravolgono di nuovo tutto vado a farmi brillare davanti al Garante. :joy::rofl:

L’AdE si è già adeguata alle richieste del Garante della Privacy e infatti l’intermediario quando accede al sito Fatture & Corrispettivi compare il seguente avvertimento:


# Avviso per gli utenti - Obbligo Fattura elettronica

Gentile Utente,
a partire dal 1° gennaio 2019 è previsto l’obbligo di emettere la fattura elettronica a seguito di cessioni di beni e prestazioni di servizi effettuate tra soggetti residenti o stabiliti in Italia.
Questo obbligo è stato introdotto dalla Legge di Bilancio 2018 ed è previsto sia nel caso in cui la cessione del bene o la prestazione di servizio sia effettuata tra due operatori Iva (operazioni B2B), sia nel caso in cui la cessione/prestazione sia effettuata da un operatore Iva verso un consumatore finale (operazioni B2C).

La trasmissione e la ricezione delle fatture elettroniche avviene attraverso il Sistema di Interscambio (SDI), gestito dall’Agenzia delle entrate.

Nel periodo transitorio, che decorre dal 1 gennaio 2019 fino al 3 maggio 2019, l’Agenzia delle Entrate procederà alla temporanea memorizzazione delle fatture elettroniche che la interessano in qualità di cedente/prestatore o cessionario/committente, in conformità alle indicazioni ricevute dal Garante per la protezione dei dati personali, esclusivamente al fine di realizzare le seguenti funzionalità:

* 1. acquisizione di alcuni dati di natura fiscale contenuti nelle fatture elettroniche, definiti principalmente nell’articolo 21 del D.P.R. n. 633 del 26 ottobre 1972, ad esclusione dei dati di cui al comma 2, lettera g) relativi alla natura, qualità e quantità dei beni e dei servizi formanti oggetto dell’operazione (i c.d. dati fattura), che saranno estrapolati e raccolti dall’Agenzia delle Entrate in una banca dati separata e verranno trattati dall’Agenzia per le attività istituzionali di assistenza e di controllo automatizzato mediante l’incrocio dei dati di natura fiscale presenti nelle fatture con quelli presenti nelle banche dati dell’Agenzia delle Entrate;
* 2. realizzazione di un servizio facoltativo attraverso il quale avrà la possibilità di consultare o scaricare i file XML delle fatture emesse e ricevute attraverso SDI nella sua area riservata del sito web dell’Agenzia delle Entrate. Tale servizio sarà subordinato all’adesione a uno specifico Accordo di servizio che verrà pubblicato nella medesima area riservata entro la data del 3 maggio 2019. In tale contesto, l’Agenzia delle Entrate assumerà il ruolo di responsabile del trattamento, archiviando le fatture, in nome e per conto suo, in una banca dati dedicata. A partire dalla data di disponibilità del nuovo servizio facoltativo, lei potrà manifestare la volontà di aderire all’Accordo del servizio di consultazione e scarico del file XML della fattura elettronica, comprese le fatture memorizzate nel periodo transitorio. Se Lei è titolare di partita IVA potrà aderire anche attraverso intermediari delegati.

In caso di mancata adesione all’Accordo di cui sopra nei tempi previsti, l’Agenzia procederà alla cancellazione delle fatture elettroniche memorizzate durante il periodo transitorio entro il 2 luglio 2019 e i soli dati fattura verranno mantenuti per le previste attività istituzionali di assistenza e di controllo automatizzato , fino a che non saranno decorsi i termini per gli eventuali accertamenti - vale a dire entro il 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento - ovvero definiti gli eventuali giudizi.

In caso di adesione al Servizio di almeno una delle parti del rapporto economico, l’Agenzia memorizzerà comunque la fattura nella sua interezza, rendendola disponibile per la consultazione e lo scarico solo a chi abbia aderito al Servizio.

Resta fermo l’eventuale Servizio di conservazione da lei fruito in base al relativo Accordo di servizio stipulato con l’Agenzia.

1 Mi Piace