Continuano serrati e a porte rigorosamente chiuse, gli incontri e i colloqui tra Agenzia delle Entrate e Garante Privacy dopo i rilievi notificati da quest’ultimo, con il provvedimento n. 481 del 15 novembre 2018, sulla fatturazione elettronica tra privati, che diventerà obbligatoria dal prossimo primo gennaio (leggi nostro articolo su intervento del Garante Privacy su Agenzia delle Entrate per la fatturazione elettronica).
Si stanno mano a mano sciogliendo (o tentando di sciogliere) i nodi, per la precisione 5, che sono contenuti nel provvedimento stesso.
Tra questi viene puntata l’attenzione su uno dei canali di trasmissione delle fatture e più precisamente quello FTP.
Il canale di trasmissione: da FTP a sFTP
Il canale FTP, insieme al canale Web Services (WS) sono sicuramente i più usati dagli Intermediari che gestiscono grandi moli e flussi di fatture per molti operatori economici. Se da un lato il canale WS “passa” su un canale crittografato HTTPS, il canale FTP utilizzato attualmente, non è un canale che può essere considerato sicuro in quanto non implementa nativamente la criptazione delle informazioni.
Su questo va fatta però una doverosa premessa: le informazioni che passano attualmente su questo canale sono comunque criptate (obbligatoriamente) tramite un certificato che Sogei mette a disposizione dei soggetti che accreditano qual tipo di canale. Dunque, di fatto, anche oggi le informazioni che “passano” sono comunque criptate.
Fatta la doverosa premessa, Sogei, prendendo evidentemente spunto dai rilievi, ha già messo a disposizione degli operatori il nuovo canale sFTP che garantisce il criptaggio nativo delle informazioni che transitano da tale canale. Tutti gli operatori che hanno recentemente fatto richiesta di accreditamento hanno come unica scelta di File Transfer Protocol, l’sFTP (l’FTP “semplice” non è più disponibile).
Verrà chiuso a breve l’altro canale e gli operatori che lo utilizzavano dovranno migrare sul nuovo e più sicuro protocollo di comunicazione.
L’sFTP, a differenza di quanto pensano in molti, non è un protocollo di trasferimento file FTP, con in più la sicurezza della criptazione, (quello è noto con la sigla FTPS), ma è un protocollo di trasferimento file basato su SSH (Secure Shell), meglio conosciuto come sistema di accesso sicuro e crittografato ai server remoti.
A differenza del collegamento FTP e del suo omologo FTPS con certificato SSL, il collegamento sFTP avviene sulla porta 22 e non usa due canali separati per l’invio dei comandi e dei dati perché entrambi le istruzioni vengono trasferite lungo un’unica connessione, in pacchetti formattati e crittografati in modo speciale. In questo modo, il collegamento SFTP risulta intrinsecamente sicuro non necessitando di una doppia connessione utilizzando la stessa per dati e comandi, ed è anche più veloce del protocollo FTPS, in quanto gestisce meno dati con una semplice connessione in-line.
Il problema della Privacy
Oltre al problema sicurezza emergeva, forse in modo ancor più evidente, tra i rilievi del Garante, quello relativo alla protezione dei dati personali (e non solo) contenuti all’interno delle fatture. Molta attenzione viene puntata infatti soprattutto sul ruolo degli Intermediari che vengono a conoscenza di molte informazioni provenienti da più operatori economici, anche potenzialmente in concorrenza tra loro.
Per la tutela delle aziende (B2C) e dei consumatori privati e dei cittadini (B2C), per questo aspetto diventa più problematica una garanzia e sicuramente non è possibile rispondere solo tramite l’adozione di determinate tecnologie.
Per questo aspetto viene in soccorso soprattutto la normativa europea in materia di protezione dei dati (Regolamento 679/2016 – GDPR). E’ assolutamente consigliato, direi pure necessario, all’atto della sottoscrizione di un contratto di Fatturazione Elettronica con un soggetto, che sia esso una Software House o un Intermediario, “regolare” in maniera molto accurata questi aspetti direttamente in un’apposita sezione del contratto, che verrà sottoscritto dalle parti. Questa è probabilmente la miglior garanzia viste le salatissime sanzioni che verranno erogate nel caso che i dati vengano utilizzati per scopi e fini che non sono tra quelli espressamente indicati e concordati.
La scelta di soggetti che trascurano questi aspetti è evidentemente assolutamente da sconsigliare.
