L'Italia è stato il primo paese ad avere attribuito piena validità giuridica ai documenti elettronici; con la legge 59/1997 (prima Bassanini) viene riconosciuto al documento sottoscritto con firma digitale lo stesso valore del suo omologo cartaceo. Le ultime disposizioni in tema di firma digitale sono contenute nel Dpcm 13/1/2004 che riporta le regole tecniche per la generazione, apposizione e verifica delle firme digitali.
Per quanto riguarda le disposizioni in materia di fatturazione elettronica, il legislatore italiano con il Dlgs 52/2004, recependo la direttiva comunitaria 2001/115/Ce, atta a semplificare e armonizzare le modalità di fatturazione ai fini Iva, introduce nel nostro ordinamento la possibilità di emettere fatture elettroniche, in alternativa alle tradizionali modalità cartacee. Per le indicazioni operative sulla corretta conservazione ed esibizione dei documenti rilevanti ai fini fiscali bisogna attenersi, invece, alle disposizioni del Dm 23 gennaio 2004 e della deliberazione n. 11/2004 del Cnipa.
Completa il quadro normativo l'emanazione del Dlgs 82/2005 (Cad - Codice dell'Amministrazione digitale), che mira a fornire una disciplina organica sull'utilizzo delle tecnologie dell'informazione e della comunicazione, nonché dei principi giuridici applicabili al documento informatico e alle firme elettroniche.
Tipi di firma
Un aspetto molto importante riguarda il tipo di firma adottato per sottoscrivere digitalmente i documenti. Al riguardo è necessario operare una netta distinzione tra le tipologie di firma utilizzabili, in quanto non tutti i tipi di sottoscrizione elettronica producono gli stessi effetti, soprattutto sotto l'aspetto fiscale. In altre parole, con alcuni tipi di firma si rischia di inficiare tutto il processo di dematerializzazione dei documenti.
Rifacendoci alle ultime disposizioni contenute nel Cad, distinguiamo tre tipologie di firma:
- firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica
- firma elettronica qualificata: la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce, in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati, che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma
- firma digitale: un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici.
Tornando agli aspetti normativi, quelle in grado di dare alle fatture rilevanza fiscale sono la firma elettronica qualificata e la firma digitale, ossia le firme basate su un certificato qualificato rilasciato da un certificatore accreditato (al Cnipa) e creata mediante un dispositivo sicuro che consente di verificare l'autenticità e l'integrità dei documenti sottoscritti. E' opportuno precisare che qualora venissero utilizzati sistemi di fatturazione Edi(1) che garantiscono i predetti requisiti di autenticità e integrità, non occorre apporre alcuna firma sulle fatture in quanto intrinseca nel sistema stesso.
La firma delle fatture
Il compito di gestire le sottoscrizioni elettroniche dei documenti spetta al responsabile della conservazione che dovrà, come disposto dall'articolo 5 della deliberazione Cnipa n. 11/2004, gestire tutti i processi legati alla digitalizzazione dei documenti.
Per procedere correttamente alla redazione delle fatture elettroniche bisogna seguire quanto stabilito dagli articoli 3 del Dm 23 gennaio 2004 e 21 del Dpr 633/1972. Volendole brevemente sintetizzare, si ricorda che la fattura elettronica dovrà essere redatta in un formato non modificabile (solitamente pdf) e non dovrà contenere macroistruzioni né codice eseguibile. Inoltre, dovrà essere garantita l'attestazione della data, l'autenticità e l'intergità, mediante l'apposizione su ciascuna fattura del riferimento temporale(2) e della firma digitale o mediante sistemi di Edi. Non sarà, inoltre, possibile trasmettere fatture elettroniche al destinatario se questi non ha espresso il proprio consenso a riceverle in tale formato.
Vista la complessità delle operazioni che il responsabile della conservazione deve porre in essere, il legislatore italiano ha previsto la possibilità di affidare in outsourcing, in tutto o in parte, la gestione di tali attività. Un'attenzione particolare deve essere rivolta agli accordi intervenuti tra cedente/prestatore e outsourcer, in quanto il processo di apposizione della firma digitale potrebbe subire delle variazioni. In particolare, se la fattura è redatta a monte e inoltrata all'outsourcer, dovrà essere il cedente/prestatore ad apporre la propria firma digitale sulla stessa. Mentre, se la fattura è trasmessa all'outsourcer tramite un flusso di dati da aggregare per la compilazione della fattura stessa, dovrà essere l'outsourcer a sottoscrivere tale documento con la propria firma digitale.
Smartcard e chiavette Usb
Dal punto di vista pratico, per poter firmare le fatture è necessario essere dotati di un dispositivo sicuro per la generazione delle firme e di un software in grado di interagire con il medesimo apparato. Il dispositivo più utilizzato per sottoscrivere digitalmente le fatture è la smartcard(3) che per funzionare necessita di un apposito lettore. Alle smartcard, in questi ultimi anni, si sono affiancate le chiavette Usb che permettono di firmare digitalmente i documenti senza dover installare, come avveniva in passato, né hardware né software. Con questi innovativi dispositivi è già possibile, in modo semplice e in tutta sicurezza, accedere ai documenti del Registro imprese e poter fruire dei servizi on-line erogati dalla Pubblica amministrazione.
Dispositivi di firma massiva HSM(4)
Si rende, infine, necessaria una precisazione sui cosiddetti sistemi di firma massiva, meglio noti come Hsm, che hanno tenuto fino a qualche mese fa gli operatori del settore col fiato sospeso. Tali sistemi consentono, digitando il Pin di sblocco del dispositivo una sola volta, di sottoscrivere migliaia di documenti contemporaneamente; con le smartcard, invece, ogni sottoscrizione necessita della digitazione del Pin.
Sintetizzando le problematiche sorte attorno questo strumento di firma, si rammenta che la criticità maggiore nasceva dalla mancanza di una norma che consentisse l'autocertificazione di tali dispositivi, col conseguente rischio che chi li utilizzava avrebbe emesso firme digitali prive di qualsiasi valore giuridico. La questione è stata risolta con l'emanazione del Dpcm 12 ottobre 2007, in vigore dal 16/1/2008, che autorizza i certificatori di firma digitale ad attestare mediante autodichiarazione la rispondenza dei propri prodotti e dispositivi ai requisiti di sicurezza previsti dalla normativa, per un periodo di 24 mesi decorrenti dall'entrata in vigore del suddetto decreto.
NOTE:
1) Edi (Electronic data interchange), sistema di trasmissione diretta di messaggi commerciali strutturati tra sistemi informativi attraverso reti di telecomunicazioni nazionali e internazionali. Con tale sistema è possibile inviare fatture elettroniche "strutturate", ossia direttamente elaborabili dai sistemi informativi gestionali senza l'intervento dell'operatore.
2) Informazione, contenente la data e l'ora, che viene associata a uno o più documenti informatici.
3) Dispositivo delle dimensioni di una carta di credito dotato di microchip che gli consente di eseguire le principali funzioni crittografiche.
4) Hsm (Hardware security module) dispositivo hardware che consente di firmare digitalmente centinaia di documenti al secondo.
