Con provvedimento dell’11 novembre 2021 il Garante privacy ha dato il proprio via libera agli aggiornamenti alle regole tecniche del processo tributario telematico, che andranno a modificare uno dei provvedimenti cardine dell’informatizzazione del processo avanti alle Commissioni Tributarie, ovvero il Decreto Direttoriale del 4 agosto 2015.
Processo civile telematico, quante difficoltà per produrre file audio e video: ecco perché
Processo tributario telematico, perché erano urgenti cambiamenti
Dopo sei anni dall’introduzione della normativa che avrebbe dovuto regolare il rito tributario telematico e dopo due anni e mezzo dall’obbligatorietà del rito informatico (appena in tempo per consentire agli operatori di gestire con maggior serenità la fase pandemica) era evidente la necessità di inserire qualche correttivo ad una disciplina che, pur promettente nella sua impostazione, era senz’altro perfettibile. Sin dall’apertura delle fasi di sperimentazione del PTT le critiche si sono infatti concentrate sulle curiose scelte relative ai formati adottate dal Ministero.
Il MEF ha scelto di consentire pochissimi formati ammissibili al deposito informatico (sostanzialmente solo PDF/A e TIFF) e di imporre la firma CAdES (escludendo l’equivalente formato PAdES) non solo sugli atti dei professionisti, ma su tutti i file oggetto del deposito. Le problematiche che queste scelte calate dall’alto avrebbero comportato sono state sin da subito evidenti.
In particolare, il nodo dei formati si scontrava con l’esigenza di provare di aver effettuato una notifica tramite PEC (anch’essa prescritta dalla normativa sul PTT, unico fra i processi telematici in Italia che anzi impone la notifica via PEC e legittima quella cartacea solo in caso di notifica via PEC non andata a buon fine) Di qui il MEF proponeva agli operatori una soluzione a metà, ovvero introdurre (con comunicazione sul portale del processo tributario telematico (SIGIT)) un elenco di formati “gestiti” dal portale, il cui deposito avrebbe generato un errore “di formato” ma ne avrebbe comunque consentito l’acquisizione.
Via libera quindi alla ovvia e necessaria produzione dei formati EML per la prova delle notifiche, anche se il Decreto Direttoriale del 04 agosto 2015 sembrava dire l’esatto contrario, ovvero che i soli formati di file ammessi fossero quelli di cui al decreto e quindi PDF/A e TIFF (“Il ricorso e ogni altro atto processuale in forma di documento informatico rispettano i seguenti requisiti”), lasciando quindi gli operatori in una situazione di incertezza normativa non di poco momento.
Fortunatamente l’art. 16 bis del D.Lgs. n. 546/92 non contiene esplicite sanzioni di inammissibilità del ricorso nel caso di mancato rispetto della regolamentazione tecnica, così consentendo agli operatori un approccio un po’ più sereno alla confusione ingenerata dalla normativa.
Firma PAdES, le regole
Per quanto riguarda invece la firma PAdES, dapprima esclusa in favore della sola firma in formato CAdES (per la precisione le regole tecniche offrono una poco edificante definizione per cui gli atti e i documenti del PTT “sono sottoscritti con firma elettronica qualificata o firma digitale, pertanto il file ha la seguente denominazione: < nome file libero > .pdf.p7m.”), il Ministero ha dovuto correre ai ripari dopo la sentenza della Suprema Corte a Sezioni Unite n. 10266 del 27 aprile 2018, con cui si è sancito il (peraltro ovvio) principio dell’equivalenza fra le firme CAdES e PAdES, da cui discende il corollario per cui è senz’altro discutibile un sistema che arbitrariamente preferisce l’una o l’altra firma.
Per questo motivo dal luglio 2019 il sistema del Processo Tributario Telematico recepisce anche le firme in formato PAdES (solo il processo amministrativo telematico, che si basa pesantemente sul sistema di firma incluso in Acrobat Reader, è ancora rimasto insensibile al portato della pronuncia della Cassazione e della normativa), peccato che le regole tecniche non avessero subito modifiche e richiedessero ancora la firma in formato esclusivamente CAdES. Mentre per i due problemi di cui si è appena fatto cenno il Ministero ha approntato una soluzione di fatto (trascurando il diritto) l’ulteriore lamentela dei professionisti, quella relativa all’inspiegabile requisito relativo alla firma digitale di ogni singolo documento depositato nel PTT, è rimasta sinora inascoltata.
L’intervento del Garante privacy
Fortunatamente il MEF si è sempre dimostrato attento alle istanze degli attori del processo tributario e, anche se con ritardi in certi casi davvero allarmanti, ha infine posto dei correttivi. Ed è proprio sulle problematiche segnalate che interviene il decreto all’esame del Garante e, precisamente:
- viene introdotta una modifica delle Regole Tecniche per “allineare” lo stato di diritto a quello di fatto, ammettendo le firme PAdES;
- viene esteso il novero dei formati ammissibili nel PTT, includendo il formato EML, formato che quindi potrà liberamente essere prodotto nel processo tributario telematico senza incorrere in errori di forma (con conseguenti modifiche anche al sistema informatico per recepire l’innovazione);
- viene prevista finalmente la possibilità di depositare documenti allegati anche non firmati digitalmente!
Oltre a queste innovazioni, l’ultima delle quali è certo la più gradita in quanto la firma obbligatoria di tutti i documenti era adempimento inutile e che finiva per far perdere di significato la firma del depositante, l’aggiornamento delle regole tecniche prevede l’introduzione di un meccanismo di controllo automatico della dimensione dei documenti informatici all’atto del loro deposito da parte del ricorrente e del resistente, nonché la modifica di alcuni dei controlli già previsti.
Le prospettive
Tutte queste novità sono senz’altro le benvenute e faciliteranno l’attività dei vari attori del processo tributario, va però censurato il ritardo del Ministero, che per delle modifiche anche davvero basilari ha preferito attendere anni invece di intervenire una volta raccolti i primi feedback della sperimentazione.
In particolare ci si augura che il Ministero intervenga ora con celerità laddove è ancora necessario intervenire, ad esempio aggiornando gli strumenti per le udienze da remoto, che dallo scorso agosto transitano dall’anacronistico Skype for Business a Microsoft Teams, ma che dovrebbero guardare già oggi al sistema di cui il Garante ha più volte sollecitato l’adozione nei vari pareri resi nella fase emergenziale e relativi allo svolgimento delle udienze da remoto, ovvero: “Una piattaforma “interna”, gestita dagli (o sotto lo stretto controllo degli) organi” della Giustizia tributaria (e possibilmente open source, aggiungeremmo noi, e soprattutto condivisa fra i vari processi telematici italiani, per evitare una nuova deriva degli strumenti informatici nelle diverse declinazioni della giustizia nostrana).
Processo tributario telematico, le richieste del Garante privacy
Venendo agli aspetti Privacy, il parere positivo del Garante è (come ormai d’uso) condizionato all’introduzione di alcuni correttivi. In particolare, il Garante “approfitta” di questo aggiornamento al Decreto del 04 agosto 2015 per esaminarne a fondo i contenuti, atteso che lo stesso è stato adottato prima dell’entrata in vigore del GDPR e quindi il Garante non l’ha esaminato alla luce della nuova normativa comunitaria. In questo senso l’Autorità chiede al MEF di integrare lo schema di decreto al fine di assicurare maggiori tutele alla riservatezza dei dati delle persone interessate, adeguandolo alla normativa europea e italiana in materia di privacy.
Per fare un esempio il Garante chiede che siano definite le responsabilità dei soggetti coinvolti nel trattamento dei dati (Ministero, Commissioni tributarie provinciali e regionali e Commissioni tributarie di I e II grado di Trento e Bolzano) declinandole nelle varie fasi del trattamento (es. chi gestisce il fascicolo informatico?, chi invece la trattazione dei procedimenti?, chi il deposito di atti informatici e chi invece il deposito di atti cartacei in ipotesi eccezionali?). Il Garante chiede inoltre che siano esplicitati gli obblighi informativi in caso di violazione dei dati (data breach), prevedendo una condivisione e “centralizzazione” del dato relativo ad un data breach così da garantire che lo stesso sia conosciuto da tutti i soggetti coinvolti nel trattamento se questo può riverberare anche sui trattamenti di dati personali effettuati dagli ulteriori titolari.
Le misure di sicurezza da adottare
Il decreto dovrà inoltre prevedere il periodico aggiornamento delle misure tecniche e organizzative adottate al fine di garantire un livello di sicurezza adeguato ai rischi presentati dai trattamenti. Quanto all’elencazione delle misure di sicurezza necessarie il Garante rimanda al diffuso provvedimento adottato in relazione al processo civile e penale telematico, laddove il Garante raccomanda, in particolare:
- di seguire le “Raccomandazioni in merito allo standard Transport Layer Security (TLS)” adottate da AgID con determinazione n. 471 del 5 novembre 2020, specie nella fase di collegamento nell’area pubblica o privata del SIGIT;
- di utilizzare algoritmi crittografici allo stato dell’arte per le operazioni di crittografia asimmetrica delle c.d. “chiavi di sessione”;
- di rivedere le procedure di autenticazione informatica utilizzate per l’accesso al SIGIT, uniformando le stesse e prevedendo l’utilizzo di credenziali o dispositivi di autenticazione che assicurino, ove possibile, un livello di garanzia elevato (come definito dal Regolamento di esecuzione (UE) 2015/1502 della Commissione dell’8 settembre 2015);
- di conservare documentazione relativa alla registrazione di utenti e log relativi all’attività sulla piattaforma (log che devono contenere una serie di informazioni ben determinata e di cui deve essere garantita la completezza, l’immodificabilità, l’autenticità e la riservatezza);
- di prevedere alert volti a rilevare comportamenti anomali o a rischio relativi alle operazioni di trattamento eseguite dagli utenti;
- di prevedere l’esecuzione di attività di controllo interno (audit), con cadenza almeno annuale.
L’insieme di queste procedure contribuirà sicuramente ad aumentare il livello di sicurezza del Processo Tributario Telematico, anche se va detto che gli adempimenti di cui è ora gravato il Ministero non sono banali e probabilmente comporteranno un ripensamento di una parte del sistema SIGIT per renderlo più aderente alle prescrizioni del Garante.
