Fatturazione Elettronica e rischio Privacy

Molte voci si sono levate negli ultimi mesi per denunciare un elevato rischio di fuga di informazioni legato alla fatturazione elettronica.
Ma sarà tutto vero ? In buona parte si, il rischio è molto elevato ma si possono adottare alcune contromisure per minimizzarlo, dando per scontato di avere già attivato tutte le norme GDPR e le soluzioni tecniche previste (antivirus, firewall).
Iniziamo a vedere il percorso che fa una fattura elettronica e gli operatori che potenzialmente possono accedere a questi dati.

1. Spesso la fattura viene generata da un gestionale e viene comunicata allo studio che dovrà tenere la nostra contabilità. Quindi la software house e il commercialista sono a conoscenza di queste informazioni. In realtà non cambia tanto rispetto a prima e soprattutto si presume che siano soggetti fidati in quanto li abbiamo scelti e spesso c’è un rapporto diretto.
2. La fattura viene spedita al Sistema di interscambio (SDI) attraverso un intermediario che fa da “postino digitale” e se lo richiediamo conserva i dati per almeno 10 anni.
3. I dati arriva alla Agenzia delle Entrate che ha facoltà di verificarli e di conservarli per anni.
4. L’SDI la trasmette al destinatario per mezzo del “postino digitale” da questo indicato.
5. La fattura viene ricevuta dal destinatario, i dati sono a disposizione del suo studio e possono essere letti dal gestore del suo sistema informatico.

In pratica i nostri dati possono essere esaminati da almeno 7 soggetti commerciali e da un numero imprecisato di persone.
Fino ad ora non esistevano i postini digitali e soprattutto i soggetti autorizzati vedevano transitare al massimo totali mensili o un totale del fatturato verso un determinato cliente (spesometro).
Da gennaio cambierà tutto perchè sulla fattura elettronica dovremo riportare articoli, servizi, prezzi, modalità di pagamento, ecc.
Sono dati che faranno gola a tanti, in primis ai nostri concorrenti. Se pensiamo che i soli nostri dati anagrafici, numero di telefono e indirizzo email possono valere qualche Euro, cosa saranno disposti a pagare per avere un quadro completo e dettagliato di tutti i nostri rapporti commerciali ?
Vista sotto questa ottica dovremmo parlare di potenziale rischio di (piccolo) spionaggio industriale. Sia chiaro che i soggetti coinvolti sono spesso grosse società o enti pubblici che dovrebbero presentare adeguate garanzie di riservatezza ma fidarsi è bene … (Facebook docet).
E chi può garantire che all’interno di queste organizzazioni non ci siano dipendenti infedeli ? Chi ha lavorato all’interno di grossi data center sa che la riservatezza non è tra le prime priorità ma anche se fosse ci sarà sempre qualcuno che potrà avere accesso ai nostri dati.

Non è il caso di entrare in paranoia ma è utile pensare ad alcune strategie per potersi tutelare.

Scegliere un “Postino digitale” fidato
Premesso che per i punti 3, 4 e 5 non è possibile fare granchè, occorre valutare molto bene il punto 2 ovvero la scelta del soggetto delegato alla trasmissione.
Scartiamo l’inoltro diretto all’Agenzia via PEC, anche se è il più sicuro in assoluto, perchè al momento la consultazione degli scarti/accettazioni risulterebbe un po’ farraginosa.
Nella valutazione sono da prendere in esami diversi fattori e la riservatezza è certamente tra le prime se non la prima in assoluto congiuntamente ai servizi rilasciati (si veda https://fabrizioborghi2.wordpress.com/2018/12/14/inoltro-fatture-attive-al-sdi/ ). Per chi emette poche fatture al mese e queste vengono generate da un gestionale interno in formato XML, tutte le proposte sul mercato hanno una funzione di “Importa” che acquisisce il documento e lo inoltra in pochi secondi, quindi la velocità operativa in questo caso dovrebbe passare in secondo piano. Anche la continuità del servizio e relativi frequenza di blocchi operativi non possiamo essere in grado di valutarla ora e dobbiamo darla per scontata.
Bisogna anche sapere che i soggetti accreditati dall’Agenzia per operare in questo ruolo non sono tanti e quelli che si spartiranno il grosso del mercato saranno solo poche decine. Infatti i piccoli produttori di software, gli studi ma anche le associazioni nazionali sono spesso soggetti non autorizzati all’invio diretto al SDI e pertanto rivendono o consigliano un servizio di terzi. Avremo quindi pochi grandi organizzazioni che tratteranno milioni di rapporti commerciali e anche da questo nascono i tanti allarmi privacy che si sono susseguiti in questi giorni.
L’anello debole per i nostri dati potrebbe essere proprio il nostro “Postino” perchè conosce tutto di noi anche se non ci ha mai visto.
Personalmente sono per privilegiare aziende di proprietà pubblica meglio ancora se la scelta cade sulla piattaforma ufficiale dell’Agenzia delle Entrate, Fatture e Corrispettivi. Tra le altre cose ‘Fatture e Corrispettivi’ offre tre caratteristiche che nessun altra piattaforma garantisce :

• Elimina il rischio privacy legato un soggetto terzo delegato al trasporto perchè l’organizzazione delegata all’invio è la stessa che deve verificare i dati (AdE)
• Trattandosi della piattaforma dell’AdE stessa, in caso di disservizi non vi saranno sanzioni alle imprese
• E’ gratuito

Delegare la conservazione ad un solo soggetto, meglio se pubblico
Non possiamo rinunciare alla conservazione perchè è un servizio molto comodo. Ma accettandolo, oltre a vincolarci ad una piattaforma, diamo l’autorizzazione a mantenere i nostri dati e implicitamente consentiamo di conservare e trattare legittimamente le nostre informazioni per almeno 10 anni. E’ vero che il porting tra piattaforme diverse è sempre possibile, è un diritto, ma è anche abbastanza complicato. Per non essere vincolati “psicologicamente” ad una piattaforma è bene  conservare sempre e comunque i documenti anche presso la piattaforma dell’Agenzia delle Entrate (‘Fatture e Corrispettivi’).
Tra i tanti suggerimenti che ho sentito mi ha particolarmente colpito quello che in caso si dia mandato all’Agenzia delle Entrate, sarebbe bene attivarsi per la conservazione anche presso un soggetto terzo. Questo consiglio che sembra sottintendere un certo grado di inaffidabilità del gestore pubblico, non lo ritengo valido se si sceglie di inviare direttamente con ‘Fatture e Corrispettivi’ perchè comporta costi e lavoro extra, mentre in caso contrario è certamente la cosa migliore.

Indicare meno dati possibili
La fattura elettronica prevede la possibilità di inserire tante informazioni ma solo una minima parte è obbligatoria.
Compilando il minimo indispensabile, oltre a risparmiare tempo, divulghiamo anche meno informazioni commerciali. In particolare sarebbe bene proteggere soprattutto le righe di dettaglio.
E’ molto grave se un concorrente avesse accesso all’elenco dei totali delle nostre fatture, ma sarebbe molto più grave se venisse a conoscenza dei prezzi applicati ad ogni bene o servizio venduto.
L’ideale sarebbe riportare una sola riga di dettaglio con le informazioni più generiche possibile, ma se dobbiamo riportare le singole voci sarebbe bene quantomeno non riportare codici o altre informazioni tecniche che un robot potrebbe facilmente interpretare.

Riportare solo il riferimento ai documenti di trasporto
Fino ad oggi siamo stati abituati a non riportare sul documento di trasporto i prezzi dei prodotti per paura che l’informazione si divulgasse tra i collaboratori.
Da adesso il vero nemico non è più interno e occorre ripensare il modo di lavorare.
L’obiettivo sarebbe quello di riportare in fattura una sola riga con “Rif.DDT n. del” è un prezzo totale, se possibile.
Ma questo comporta di indicare il prezzo dei beni su un altro documento affinchè il cliente li possa analizzare. Si potrebbe indicarli proprio sul documento di trasporto oppure creare un documento interno con le singole voci di costo da recapitare direttamente al cliente in via confidenziale (email).

Pubblicità

Pubblicato da fabrizioborghi2 in 8 dicembre 2018

https://fabrizioborghi2.wordpress.com/2018/12/08/fattura-elettronica-e-rischio-privacy/