menu di navigazione del network

Notifiche firmate con certificato scaduto

Buongiorno.

Il mio software controlla le firme delle notifiche consegnate dall’agenzia delle entrate.
Da domenica 24/5 alle ore 12:35 a martedì 25/5 alle ore 19:30 sono arrivate notifiche firmate con un certificato scaduto (il programma mi dà errore:
java.security.cert.CertificateExpiredException: NotAfter: Sun May 24 12:34:17 UTC 2020)

Ho già aperto un ticket (ancora lunedì) chiedendo il reinvio delle notifiche firmate correttamente, ma non ho ancora avuto notizie.

Qualcuno ha avuto lo stesso problema e ha avuto qualche risposta? Non mi va di disabilitare il controllo: domani qualcuno potrebbe chiedermi perché ho dato per buone notifiche firmate con una firma non valida…

1 Mi Piace

Il problema è che non hai altra scelta che “dare per buone” le notifiche che ti arrivano. Il protocollo non permette di rifiutare o contestare qualsiasi cosa ti arrivi dal SdI.

Se queste notifiche le puoi verificare sul sito dell’AdE, io non mi preoccuperei più di tanto. Il problema potrebbero essere le notifiche di esito per le fatture PA, che in teoria potresti dover usare per “dimostrare” che la PA ha accettato la fattura, ma nella pratica spesso costringono i fornitori a fare note di credito per fatture già “accettate”, quindi anche questo caso ha poca valenza pratica.

Per le fatture B2B invece, il fatto che le notifiche siano firmate con certificati scaduti è il problema minore… le fatture stesse possono non essere firmate e anche il file metadati che le accompagna non è firmato dall’AdE, quindi quando ti arriva una fattura B2B, non hai modo di verificarne l’autenticità, se non per il fatto che viene consegnata dal SdI. Il SdI si deve autenticare quando si collega al tuo web service, e lì è importante verificare il certificato e rifiutare la connessione se scaduto.

Noi le firme sulle notifiche non le controlliamo, quindi non ce ne siamo accorti, ma sono andato a verificare le notifiche ricevute in quell’intervallo di tempo ed in effetti sono firmate col certificato scaduto. Immagino che quelli dell’AdE se ne siano dimenticati.

Comunque hai fatto bene a protestare… una “svista” del genere da parte loro è grave. Non so se la cosa può avere risvolti legali, ma secondo me farebbero bene a rispedire le notifiche con la firma corretta, anche se dubito che il loro software disponga di una funzionalità del genere.

Sogei stavolta mi ha stupito: sono stato contattato dopo l’apertura del ticket e hanno reinoltrato tutte le notifiche precedentemente inviate sbagliate.

Buon lavoro
Andrea Occhi