Normative

Fattura elettronica e privacy: «Perché senza intermediari è meglio»

Le critiche del Garante Privacy sulla compatibilità tra fatturazione B2B e GDPR fanno seguito a diversi allarmi, tra cui quelli di Claai e ANC – Associazione Nazionale Commercialisti. Le ragioni di chi sostiene che i rischi di usi impropri dei dati siano evitabili con un canale di fatturazione diretto con lo SdI (Sistema d’Interscambio): parla StartDigit

Pubblicato il 29 Nov 2018

fattura elettronica e privacy senza intermediari

Fattura elettronica e privacy (GDPR) sono gli adempimenti che più stanno impegnando le aziende italiane, e alla fine si sono rivelati pure in conflitto. La normativa sull’obbligo di fatturazione elettronica tra privati in Italia infatti “presenta rilevanti criticità di compatibilità con la normativa di protezione dei dati personali”, a causa della “sproporzionata raccolta di informazioni” e dei “rischi di usi impropri da parte di terzi”. E per questo va cambiata. È il clamoroso responso di pochi giorni fa del Garante della Privacy, che in virtù dei nuovi poteri ricevuti con l’entrata in vigore del GDPR ha emesso un provvedimento chiedendo all’Agenzia delle Entrate di affrontare e risolvere il problema.

Fattura elettronica e privacy: le principali criticità

Più in dettaglio il provvedimento (doc. web. n. 9059949), evidenzia quattro criticità principali.

– Mancata consultazione del Garante. “Il tempestivo e necessario coinvolgimento dell’Autorità avrebbe certamente potuto contribuire ad avviare il progetto con modalità e garanzie rispettose della protezione dei dati personali”.

– Disponibilità delle fatture ai consumatori sul portale dell’Agenzia. “Un siffatto trattamento – scrive il Garante – comporta un ingiustificato incremento dei rischi per i diritti e le libertà dei privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web”.

– Dati personali nelle fatture elettroniche. “Le fatture, di regola, contengono dati anche molto di dettaglio […] con descrizione delle prestazioni, rapporti fra cedente e cessionario e altri soggetti, sconti applicati, fidelizzazioni, abitudini di consumo, oltre a dati obbligatori imposti da norme di settore – come trasporti, servizi energetici o di telecomunicazioni, sanità e settore giudiziario -. […] L’Agenzia delle Entrate tuttavia non ha individuato nessuna specifica misura di garanzia per assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza”.

– Ruolo degli intermediari. Il Garante chiede misure tecniche e organizzative per assicurare il rispetto della normativa di protezione dei dati personali in tutta la filiera del trattamento dati a fini di fatturazione elettronica, perché al momento il ruolo degli intermediari rispetto al trattamento non è chiaro. Inoltre il nuovo obbligo comporta “la concentrazione, presso soggetti che operano nei confronti di una grande moltitudine di operatori economici, di una mole enorme di informazioni, sui beni e servizi ceduti, sulla clientela e sulle relative abitudini di consumo, che non si riscontra nella normale gestione delle attività economiche. La possibilità di accedere a simili banche dati stimola grandi interessi rispetto ai quali sono alti i rischi di utilizzi impropri”.

Oltre a queste criticità principali, il provvedimento ne segnala altre, tra cui quelle legate ai canali di trasmissione delle fatture (“il protocollo FTP non è un canale sicuro… e il file XML della fattura non è cifrato”), e alla mobile app Fatturae (gli utenti non sono correttamente informati delle ulteriori finalità di conservazione e controllo perseguite dall’Agenzia).

Fattura elettronica e privacy: le denunce di Claai e ANC

I profili di rischio del trattamento dati nel processo di fatturazione elettronica tra privati predisposto dall’Agenzia Entrate erano peraltro già stati sollevati nei mesi scorsi da diverse parti in causa. Claai (confederazione dei liberi artigiani) per esempio in un comunicato stampa parla di “nuovo caso Facebook”. «Intravediamo profili di possibile violazione dei segreti industriali e commerciali nonché della vita privata dei consumatori – ha scritto il segretario generale Claai, Marco Accornero -. L’Agenzia delle Entrate saprà in tempo reale il dettaglio di ogni compravendita (contenuto, data, luogo, prezzo e fornitore). In un’epoca in cui emergono quasi quotidianamente scandali di raccolta e uso di dati sensibili in modo illegittimo, ci pare doveroso segnalare al Garante per la Privacy questa problematica».

Anche l’ANC, Associazione Nazionale Commercialisti, si è rivolta al Garante sul conflitto tra fattura elettronica e privacy. “Vi è il concreto rischio che i dati contenuti nelle fatture, che riportano informazioni personali e sulle transazioni commerciali, possano essere oggetto di interesse da parte di terzi, motivati a conoscere le scelte degli operatori economici e profilarne le caratteristiche”, ha scritto il presidente ANC Marco Cuchel. “Ciò che si teme è che […] possa essere fatto un uso improprio dei dati contenuti nei documenti trattati. Non è questo chiaramente il caso dell’Agenzia delle Entrate […], ma ci riferiamo a software house, istituti di credito e grandi gestori di archivi telematici, ai quali dovrebbe essere fatto espresso divieto di usare o cedere a terzi detti dati”.

Secondo l’ANC poi la situazione è ulteriormente complicata dalla diffusione di informazioni “non esatte” da parte di alcuni fornitori software verso commercialisti e utenti: pratica denunciata con lettere sia ad Assosoftware sia all’Antitrust, di cui parleremo in un prossimo articolo.

Dibattito in corso, ma la scadenza resta l’1 gennaio

L’intervento del Garante ha scatenato naturalmente un grande dibattito tra gli addetti ai lavori e non solo. Dibattito incentrato non tanto sul merito delle criticità segnalate, quanto sulla tempistica dell’intervento, visto che l’impianto della norma sulla fatturazione elettronica B2B è noto da molto tempo.

Comunque l’obiettivo del provvedimento è solo di spingere l’Agenzia delle Entrate a eliminare i conflitti tra fattura , e non c’entra nulla con le richieste di proroga dell’obbligo presentate da più parti, anche con interrogazioni parlamentari. Il potere di prorogare è solo del Governo, che però pochi giorni fa ha ancora una volta confermato la scadenza dell’1 gennaio. Al momento in cui scriviamo le concessioni più probabili sono una sanatoria sulle sanzioni fino a settembre (9 mesi), e una possibile proroga solo della fatturazione verso consumatori finali.

GDPR, chi è responsabile del trattamento dati?

A questo punto tuttavia per le imprese – e per gli studi professionali che emettono fatture per conto di clienti – non si pone solo il problema di quale soluzione adottare per la fatturazione elettronica. Ma anche quello della protezione dei dati sensibili contenuti nelle fatture. E qui – come evidenziato dall’intervento del Garante – il tema fatturazione elettronica si collega a quello del GDPR, il Regolamento Europeo per la Data Protection. Molti infatti hanno scelto di gestire la fatturazione elettronica attraverso soluzioni di intermediari in cloud. Ma questa scelta configura un processo di fatturazione con diversi passaggi da un sistema informatico all’altro sui quali occorre chiedere le opportune garanzie al fornitore del servizio.

Al di là del problema primario – il rischio di violazione di dati di clienti o di segreti industriali aziendali – c’è infatti anche quello della “accountability” richiesta dal GDPR: nei vari passaggi come si divide la responsabilità del trattamento dei dati tra chi fornisce il servizio cloud di fatturazione e chi emette la fattura?

Fattura elettronica e privacy: l’opzione “senza intermediari”

Gran parte di questi problemi concettualmente si potrebbe risolvere con una connessione diretta, senza passaggi intermedi, tra chi emette la fattura e il Sistema d’Interscambio (SdI) dell’Agenzia delle Entrate, cioè il cuore del nuovo sistema di fatturazione elettronica che andrà in vigore l’1 gennaio. Una connessione diretta che secondo molti è complicata e difficile da creare e gestire, ma secondo altri no. E in questo secondo gruppo c’è StartDigit, software house veneta che sullo slogan “la fatturazione elettronica senza intermediari” basa la sua proposizione sul mercato.

«Sulla profilazione di grandi moli di dati, big data, si baserà sempre più l’economia del futuro, quindi la compravendita di dati sarà sempre più un business, ed è per questo che molti hanno dubbi sull’opportunità di vedere grandi accumuli di dati presso intermediari – spiega Alessandro Benvegnù, direttore vendite di StartDigit -. Nel mio lavoro queste perplessità ho cominciato a sentirle quotidianamente ben prima che si cominciasse a parlarne pubblicamente».

Il tipico ragionamento che fanno soprattutto le imprese familiari, e le realtà che basano il business sul know-how aziendale, brevetti e proprietà intellettuale, continua Benvegnù, è questo: “Nella mia fattura ci sono informazioni che sono il frutto di tutta la mia storia e i miei successi – informazioni di clienti e fornitori, prezzi dei prodotti e loro descrizioni, la scontistica. Vorrei avere un canale diretto di comunicazione con l’Agenzia delle Entrate che mi preservi da qualsiasi intromissione di soggetti terzi sulle mie fatture come su quelle di altri, magari anche miei concorrenti, per usi potenzialmente anche illeciti”.

Minore il numero di vulnerabilità del processo, minori i rischi

Anche dando per scontata la correttezza degli intermediari, aggiunge Massimo Battistella, CEO e fondatore di StartDigit, il concetto molto semplice è che minore è il numero di punti di vulnerabilità del processo di fatturazione, minori sono i rischi, a parità di obiettivo finale che è adempiere alla legge gestendo in digitale tutte le fatture attraverso lo SdI.

«Poi ci sono ulteriori tipi di criticità che si evitano se il processo è senza intermediari. Per esempio: il canale di fatturazione attraverso l’intermediario è condiviso con tutti gli altri suoi clienti. Utilizzando invece un canale dedicato, e personale – che offre un codice destinatario univoco e non condiviso – passano solo le fatture in entrata e in uscita di un’unica azienda, con moli di dati sensibilmente minori e con ottime performance».

A fronte di questo scenario, la proposta di StartDigit si basa sulla piattaforma Invoice Smart Assistant e su una metodologia di progetto ormai consolidata. In una prima fase il cliente viene aiutato nell’accreditarsi presso lo SdI. Poi il software di StartDigit viene installato sul suo server, vengono eseguiti i test di interoperabilità con lo SdI, e infine la procedura va in produzione e attraverso un canale diretto con lo SdI le fatture cominciano a essere inviate e ricevute, senza coinvolgere intermediari.

«Il principio è entrare nell’azienda cliente e attivare la fatturazione elettronica senza intervenire sui sistemi già installati», conclude Leonardo Brunelli, Head of Marketing di StartDigit. «E questo vale sia per imprese molto strutturate, sia per commercialisti o associazioni che aiutiamo ad accreditarsi presso lo SdI e che fanno da intermediari per aziende loro clienti».

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4