Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

Firma digitale

Quali regole per le fatture verso la PA?

di Fabio Annovazzi* - 28.01.08

Una settimana fa l’Agenzia delle entrate ha emanato la Risoluzione N. 14/E, che obbliga i fornitori di servizi di conservazione sostitutiva a stampare e acquisire nuovamente via scanner i file fattura ricevuti dai propri clienti (vedi Per dematerializzare si deve materializzare il dematerializzato di Manlio Cammarata).
In pratica, l’effetto netto sarà di rendere molto più costoso il servizio, e quindi molto meno conveniente per le imprese dematerializzare le proprie fatture, che si continueranno tranquillamente a conservare in tradizionali - ma ben rodati - archivi cartacei. Lo svantaggio maggiore lo avrà probabilmente la stessa Agenzia delle entrate, visto che un archivio elettronico rende molto più efficace, veloce e meno invasiva l’attività ispettiva e di controllo.

Difficile capire quali siano le ragioni che hanno spinto l’Agenzia a uscire con un provvedimento così anti-intuitivo e discutibile. D’altra parte nessuna norma obbliga le imprese a passare alla archiviazione sostitutiva, e i risparmi potenziali legati alla dematerializzazione degli archivi cartacei sono stimati pari a “solo” alcune centinaia di milioni di euro per anno.
Sulla fatturazione elettronica, però, le cose stanno in modo del tutto diverso. La fatturazione elettronica è stata resa obbligatoria per le transazioni nei confronti della Pubblica amministrazione, e i guadagni potenziali di efficienza, inclusa anche la possibilità di ottimizzare i pagamenti, sono stimati nell’ordine di qualche decina di miliardi di euro l’anno.

Qui ci vuole un sforzo di grande realismo e di buonsenso da parte del legislatore. La legge finanziaria 2008 prevede infatti due ulteriori passi per rendere concreto tale obbligo della fatturazione elettronica nei confronti della PA.
Il primo è l’indicazione (tramite decreto, da emettere entro il prossimo mese di marzo) dell’operatore incaricato di gestire il Sistema di interscambio che sarà l’interfaccia fra la PA e le imprese e/o i fornitori di servizi di fatturazione elettronica.
Il secondo passo, più delicato, è rappresentato dal decreto attuativo che andrà a fissare le regole che le aziende dovranno seguire per inviare fatture elettroniche alla PA.

La legge non prevede una data entro la quale il decreto attuativo dovrà essere emesso. Dice solo che, a tre mesi dall’emissione del decreto, e al netto di eventuali deroghe, la Pubblica amministrazione potrà pagare solo fatture elettroniche.
In pratica è possibile che tutti i 20.000 e più fornitori “importanti” della PA, se tali vogliono rimanere, debbano attrezzarsi per inviare fatture elettroniche nel corso dei prossimi dodici mesi.

Di fatto definire un limite piuttosto breve per l’applicazione della legge e, assieme, una sanzione assolutamente draconiana in caso di non ottemperanza, rappresenta forse l’unico modo per riuscire a traghettare le aziende alla fatturazione elettronica.
Non dimentichiamo che si tratta quasi di una “prima mondiale”, un passo coraggioso che potrebbe fruttare al sistema Italia un importante – e quanto mai necessario – impulso di produttività.

La fatturazione elettronica non ha ancora preso piede in nessun paese del mondo. In Danimarca (il solo paese ad avere imposto l’obbligo della fatturazione elettronica nei confronti della PA) non c’è l’obbligo di firmare elettronicamente le fatture, con un'interpretazione ragionevole della direttiva 2001/115/CE (sul punto vedi ancora Per dematerializzare si deve materializzare il dematerializzato).

Il nostro legislatore, avendo deciso di concedere solo tre mesi alle imprese, si è di fatto auto-obbligato a creare, con il decreto attuativo, condizioni per rendere realmente agevole il passaggio alla fatturazione elettronica - anche e soprattutto per le PMI, che rappresentano oltre il 95% delle aziende italiane.
In caso contrario la norma fallirà inesorabilmente, e passerà nel dimenticatoio come un’ennesima grida manzoniana.

Il diritto informatico rappresenta forse il settore dove il legislatore ha maggiore tendenza ad eccedere in complicazione con il frequente risultato che gli strumenti di cui il legislatore vuole promuovere l’uso non vengono adottati dal mercato (si pensi alla firma elettronica e alla PKI).
La maggior parte delle leggi è pensata per regolare una fattispecie che esiste già, di cui si conoscono abbastanza bene i comportamenti dei diversi soggetti, che evolve con i ritmi lenti e governabili del mondo “reale”, e che, infine, è possibile provare a normare paese per paese.

La normativa IT è molto diversa. Si vuole regolamentare una realtà che non esiste ancora (e che probabilmente non esisterà mai, se la legge è fatta male), in cui è difficilissimo prevedere i comportamenti dei diversi soggetti, e che evolve in modo veloce e assolutamente incontrollabile.
Inoltre si tratta di problematiche globali per definizione, dove vige la regola che oramai la “terra è piatta” e che i tentativi di un paese di governare un fenomeno andranno frustrati se altri paesi adottano politiche di segno diverso.

Si pensi al tema, essenziale, della fattura elettronica cross border (cioè che viaggia tra paesi diversi). Alcuni paesi, come in particolare la Germania, hanno adottato un approccio del tipo “solo quello che si fa secondo le leggi del mio paese va bene”, con il risultato di creare un serio, e ancora irrisolto, problema di interoperabilità.

In definitiva, cosa vorremmo aspettarci dal decreto? Di fissare condizioni che permettano ad imprese e PA di scambiarsi fatture con un “massimo ragionevole” di sicurezza e di vantaggi.
Non il “massimo teoricamente possibile” – la “sicurezza della NASA” unita alla ricchezza di dati della fattura EDIFACT utilizzata in filiere industriali sofisticate come l’automotive.

Nel mondo dell’ICT, e non solo, la sicurezza assoluta non esiste.
Esiste solo la sicurezza ragionevole rapportata alla possibile minaccia. Chiedere la massima sicurezza teoricamente possibile significa introdurre livelli di complessità e di costo assolutamente incompatibili con le esigenze delle PMI e, pertanto, con gli obiettivi della legge.
Medesimo discorso vale per la “ricchezza informativa” della fattura.

Il legislatore deve mettere le basi per l’evoluzione del sistema verso il nirvana dello straight through processing. Deve però avere la serena consapevolezza del fatto che buona parte delle aziende e degli enti pubblici non saranno in grado né (come fornitori) di generare fatture complete di tutti i dati necessari per una gestione straight through processing da parte del cliente, né (come clienti) di implementare un sistema di straight through processing delle fatture passive.

Questo non significa che la fatturazione elettronica non potrà portare guadagni considerevoli già nel breve termine, ma solamente che ci vorrà un po’ più di tempo (e tanti investimenti) per giungere a generalizzare i 20-40 euro di risparmio a fattura che già oggi si ottengono in alcune filiere industriali fortemente integrate.
Sarebbe quindi egualmente sbagliato puntare al “minimo indispensabile” rappresentato dalla semplice fattura elettronica in formato PDF inteso come “immagine” (quindi non accompagnata dal substrato del file strutturato XML) che consente solo di eliminare l’archivio cartaceo.

Eliminare l’archivio cartaceo significa risparmiare qualche decina di centesimi, al massimo un euro, a documento. Avere un file strutturato che può essere utilizzato per alimentare un gestionale permette di ottenere risparmi superiori almeno di un ordine di grandezza.
Non è questa la sede per definire in dettaglio cosa si intende per massimo ragionevole. Peraltro è facile capire, al contrario, quando un determinato adempimento non è coerente con questo principio e aggiunge inutile complessità.

Senza pretesa di completezza, ecco qualche esempio.

A) Contenuto dati del file fattura. Bisognerebbe sforzarsi di evitare la necessità da parte delle aziende di includere nel file strutturato che accompagna la fattura elettronica informazioni non contenute nella fattura cartacea che oggi viene stampata. Altrimenti le si costringe ad intervenire sul gestionale, con costi e tempi spesso significativi.
Un codice univoco, magari generato da un ente centrale, per individuare il compratore? Bellissimo! Ma veramente serve da subito? Non bastano, almeno all’inizio, i dati (partita IVA) già presenti sulla fattura? Basti pensare che la partita IVA, preceduta dal codice nazione, diventa automaticamente tale codice univoco, quindi … già c’è!

L’indirizzo mail è un esempio di un meccanismo di identificazione non centralizzato e pieno di limiti che farebbe orrore ad un esperto di standardizzazione, ma che – nel suo ambito – funziona bene perché è pratico e flessibile, anche se non del tutto sicuro. È molto probabile che un meccanismo di indirizzamento – teoricamente imperfetto, ma semplice – gestito dagli utenti possa funzionare anche per spedire le fatture.

Un approccio ragionevole sarebbe di limitarsi, nel decreto, a richiedere la presenza dei campi “indice” già previsti dalla legge con l’aggiunta di quei pochi campi che vengono generalmente utilizzati per alimentare la contabilità, come ad esempio il “castelletto IVA”.
Per il resto lascerei ai compratori il compito di chiedere ai loro fornitori di includere nel file strutturato anche altre informazioni utili per alimentare automaticamente il proprio gestionale. Questo è coerente con quanto previsto da tutta la normativa, europea e nazionale, che la fattura elettronica può essere inoltrata solo dietro accordo con il destinatario: in tale fase di accordo si possono quindi definire anche questi aspetti.

B) Lo standard. Ci sono diversi standard XML che funzionano sia in teoria che in pratica. Ce ne sono poi altri (che qui non nominiamo) che per un totalizzante desiderio di perfezione in pratica non funzionano e sono molto difficili da implementare da parte delle PMI.
Scegliere e imporre uno standard “ex-lege” rischia di essere un errore, non fosse altro perché non è affatto detto che gli altri paesi seguiranno il nostro esempio. È essenziale che la normativa italiana eviti salti in avanti in modo da porre le basi per l’interoperabilità a livello europeo, o almeno non ostacolarla.

Tradurre un documento in uno standard XML in un altro standard XML è invece abbastanza agevole, così come produrre un telefonino quadribanda non rappresenta un exploit tecnologico particolarmente impressionante.
Un approccio di buon senso potrebbe essere quello di chiedere alle imprese di inviare, assieme alla fattura in formato immagine, un file XML in uno standard qualsiasi fra quelli meglio documentati (CBI, UBL, Finvoice, Rosetta,…).

C) La firma. La firma apposta sulla fattura non è una firma (nel senso che non rappresenta una dichiarazione di volontà da parte di chi la appone), ma è un sigillo che serve a dimostrare che il file non è stato modificato e proviene effettivamente da un certo emittente. Tanto è vero che la direttiva comunitaria proibisce agli stati membri di obbligare le imprese a firmare le proprie fatture, e prevede specificatamente la possibilità che la firma venga apposta da un terzo, in nome e per conto dell’azienda emittente.
Soprattutto per le PMI affidarsi ad un terzo è quasi una scelta obbligata, poiché sobbarcarsi direttamente le attività di apposizione della firma elettronica, di marcatura temporale e conserva sostitutiva delle fatture comporterebbe oneri probabilmente inaccettabili.

Il terzo può utilizzare un certificato emesso a nome di un dipendente autorizzato a firmare dall’azienda che ha emesso la fattura, oppure firmare con un proprio certificato.
La prima ipotesi presenta una serie di contro-indicazioni pratiche, soprattutto per le PMI. Ogni azienda deve essere dotata di uno o più certificati (i due milioni di certificati di firma già in possesso delle aziende italiane in pratica non vanno bene perché sono, in massima parte, gestiti da soggetti diversi da quelli che in azienda sono responsabili della fatturazione). Poi bisogna gestire le smartcard (che si perdono, si rompono…) o, in alternativa, avere apparati di firma massiva (i cosidetti HSM) in grado di gestire migliaia di certificati in sicurezza.

Nel secondo caso l’operatore firma tutti i file fattura ricevuti dai propri clienti con un unico certificato intestato a se stesso. La firma dell’operatore trasforma i file in fatture elettroniche vere e proprie e garantisce che le fatture sono state correttamente “sigillate”.
L’operatore deve utilizzare un meccanismo di identificazione per essere ragionevolmente certo che i file fattura provengono effettivamente da quella particolare azienda, e deve apporre la firma utilizzando una infrastruttura tecnologica sicura.

L’operatore non può evidentemente divenire responsabile del contenuto della fattura semplicemente perché l'ha sigillata con un certificato diverso, il proprio. Si tratta di una cosa ovvia, ma sarebbe opportuno che il decreto la ribadisse.
Ci sono poi tutta una serie di aspetti in cui non si riesce realmente a capire perché il legislatore dovrebbe entrare, e qui il decreto potrebbe opportunamente ribadire la “neutralità tecnologica” della legge.

Mi riferisco, ad esempio, all’idea - criticabile – che, per stare tranquilli, bisogna necessariamente fare transitare le fatture per una rete “sicura”, diversa da internet. Ci si dimentica che il “primo e l’ultimo miglio” (dall’emittenti fino all’hub e dall’hub fino al destinatario) comunque non può che avvenire sulla “insicura” rete internet, e che comunque la firma elettronica serve appunto di essere certo che quanto arriva è uguale a quanto è stato spedito. Un secondo esempio, ugualmente criticabile, è che sia assolutamente necessario utilizzare protocolli particolari – diversi insomma da un semplice FTP, da una mail criptata e firmata, o da una trasmissione SSL - per l’invio.

La posta certificata è una ottima cosa, ma non ha alcun senso imporre l’obbligo di utilizzarla inviare fatture elettroniche. Oggi le fatture non si inviano mica per raccomandata con ricevuta di ritorno.
Il decreto anche potrebbe rappresentare l’occasione giusta per togliere di mezzo alcuni adempimenti normativi che aggiungono poco in termini di sicurezza, ma rendono molto più ostica l’adozione della fatturazione elettronica da parte delle imprese.

Due esempi per tutti: l’obbligo di “chiudere” la fatturazione entro 15 giorni dall’emissione della fattura tramite l’opposizione di una marca temporale sulla fattura elettronica, e l’obbligo di conservare su supporto elettronico le fatture elettroniche attive.
Il primo adempimento appare troppo restrittivo per molte realtà italiane che, forse per disorganizzazione, più probabilmente perché il mercato funziona così, trovano difficile rispettare quel limite. Estenderlo non dovrebbe comportare un rischio particolare per l’amministrazione finanziaria.

Per chi emette poche fatture (magari utilizzando un portale web di fatturazione, sul quale le fatture vengono immesse manualmente), o emette tante fatture di cui solo poche nei confronti della pubblica amministrazione, l’obbligo di aprire un sezionale separato e conservarle su supporto elettronico può rappresentare una notevole complicazione.
Anche qui non si capisce quale sia la controindicazione a prevedere, ad esempio, che l’obbligo per la conservazione “elettronica” scatti solo al di sopra di un certo numero di fatture.
 

* www.optiinvoice.it

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2008  Informazioni sul copyright