Firma elettronica e documenti contabili

di Fulvio Sarzana di S.Ippolito (lidis.it) - Oggi si possono conservare su CD o DVD i dati contabili potendo anche arrivare a buttare la carta. Ma si rischia il conflitto con le norme precedenti. Ecco perché

Roma - Mentre ferve il dibattito in rete sulla reale portata della firma elettronica e della firma digitale, scatenatasi a seguito di un provvedimento del giudice di Cuneo che ha riconosciuto la validità, come prova scritta, della e-mail ai fini della concessione di un decreto ingiuntivo, una norma, sembra dare ragione a coloro i quali ritengono che nel nostro ordinamento la firma elettronica (che potrebbe a mio avviso e a quello dell'avv. Andrea Lisi su questa rivista, anche essere considerata PW e ID) abbia una funzione residuale, ovvero serva a ben poco rispetto alla ben più importante firma elettronica avanzata o qualificata (sulle diverse distinzioni vedi il mio articolo su questa rivista).

Con la pubblicazione sulla Gazzetta Ufficiale n 27 del 3 febbraio 2004 del Decreto del Ministero dell'Economia del 23 gennaio 2004, sono state dettate le norme per la conservazione informatica dei dati contabili.

Il provvedimento è molto importante per le aziende perchè viene eliminato il paradosso secondo il quale l'archiviazione dei dati contabili potesse avvenire in forma elettronica (su un CD o un dischetto per intenderci) ma la conservazione degli stessi dati dovesse avvenire in forma cartacea per tutto il periodo previsto per l'accertamento.
Quindi, oggi, un'azienda può conservare su dischetto o compact disc o DVD i dati contabili e se usa la firma elettronica qualificata e, nel rispetto delle regole che l'AIPA (oggi CNIPA) ha stabilito con la delibera 42/2001 (peraltro in fase di aggiornamento), può anche buttare la carta perchè a richiesta degli organi competenti può esibire il documento informatico con piena validità legale.

Se la soluzione appare soddisfacente per la realizzazione della piena informatizzazione delle attività aziendali legate agli adempimenti tributari, qualche dubbio è generato dal coordinamento con le norme esistenti.

Come si ricorderà infatti l'art 10, secondo comma del Decreto del Presidente della Repubblica 28 dicembre 2000 n. 445 "Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa" statuisce che "Il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta. Sul piano probatorio il documento stesso è liberamente valutabile, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza. Esso inoltre soddisfa l'obbligo previsto dagli articoli 2214 e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare".

Ai sensi dell'art. 2214 del Codice Civile l'imprenditore che esercita un'attività commerciale deve tenere il libro giornale, il libro degli inventari e le altre scritture contabili richieste dalla natura e dalle dimensioni dell'impresa. Fino al Decreto odierno, e sulla base di queste norme, abbiamo creduto che una qualsiasi firma elettronica (ivi compresa ad esempio PW e ID) associata ad un documento informatico potesse essere valida ad asseverare i dati della contabilità aziendale.

Oggi invece il Decreto in questione ci dice che, ai fini contabili, i documenti informatici debbano essere muniti di "sottoscrizione elettronica e di marca temporale" e poichè la sottoscrizione elettronica viene definita al punto b dell'art 1 come "L'apposizione della firma elettronica qualificata" è ovvio comprendere che questi adempimenti debbano essere adottati con firma elettronica qualificata e non con firma elettronica semplice.

Se vi fossero ulteriori dubbi sul fatto che la firma elettronica semplice non abbia ricevuto alcun rilievo dal Decreto in questione basta analizzare il successivo Art 3 dello stesso Decreto che stabilisce: "I documenti informatici rilevanti ai fini tributari: b) sono emessi, al fine di garantirne l'attestazione della data, l'autenticità e l'integrità, con l'apposizione del riferimento temporale e della sottoscrizione elettronica; quindi con firma qualificata.

Ma la norma forse più preoccupante dell'intero decreto è il successivo art 4, comma 3, laddove si stabilisce che "Il processo di conservazione digitale di documenti analogici originali avviene secondo le modalità di cui al comma 1 e si conclude con l'ulteriore apposizione del riferimento temporale e della sottoscrizione elettronica da parte di un pubblico ufficiale per attestare la conformità di quanto memorizzato al documento d'origine.

Questo significa in pratica che ogniqualvolta un imprenditore decida di conservare le scritture contabili originali cartacee su supporto magnetico, ad esempio un CD, sia costretto a recarsi presso un pubblico ufficiale (o un notaio) e farsi apporre il "visto" digitale per attestare la conformità di quanto memorizzato al documento d'origine e tutto ciò non in vista di un accertamento o per altri motivi ma solo ed esclusivamente per la conservazione del documento.

Se l'obiettivo di una semplificazione tecnologica è l'abbattimento dei prezzi e il miglioramento della vita dell'impresa è lecito dubitare che quest'obbligo così come è stato formulato determini un possibile aumento dei costi per l'impresa più che una diminuzione e una duplicazione di procedure non necessarie.

Se questo è il contesto ci sorgono alcuni dubbi:

1) Possibile che (restando nel campo fiscale) ad esempio le dichiarazioni telematiche dei redditi spedite in precedenza senza la firma elettronica qualificata, che potevano essere equiparate alla firma elettronica e quindi alla forma scritta, siano carta straccia, con l'ulteriore conseguenza che se io sono sottoposto ad accertamento tributario per il periodo di tempo nel quale i commercialisti non hanno usato la firma digitale (o la firma avanzata o qualificata) per l'invio telematico, posso tranquillamente negare di fronte al giudice tributario, sulla base del decreto odierno, di aver mai inviato quella documentazione o di averne asseverato il contenuto?

2) A cosa serve la firma elettronica semplice prevista dall'art 10, secondo comma, del dPR 445 del 2000 espressamente prevista per la tenuta dei libri contabili, per il rinvio che la stessa norma fa all'art 2214 del codice civile, se il Decreto odierno non ne prevede l'uso e anzi prescrive l'utilizzo della firma qualificata?

E allora le ulteriori domande sorgono spontanee:

1) Se la firma elettronica semplice non esiste per il legislatore o non è considerata abbastanza sicura perchè è stata introdotta?

2) Perché ne è stato prescritto l'uso per i documenti contabili dal secondo comma dell'art 10 del dPR 445 e successivamente, oltretutto con una norma di rango inferiore (il Decreto Ministeriale rispetto al Decreto del Presidente della Repubblica) ne è stato di fatto eliminata, a fini di accertamento contabile, l'esistenza.
E, sopratutto, possibile che un giudice ammetta "candidamente" l'esistenza in Tribunale di un qualcosa che molti (ed in primo luogo il Legislatore dopo averla introdotta) fanno a gara a nascondere come una vergogna: la firma elettronica semplice?

Si ripropone a questo punto una drammatica domanda: chi ha ragione? Il Parlamento o i Giudici?

avv. Fulvio Sarzana di S.Ippolito
www.lidis.it


dello stesso autore:
Profili giuridici delle firme elettroniche
6 Commenti alla Notizia Firma elettronica e documenti contabili
Ordina
  • cd e dvd masterizzati, a differenza di quelli stampati, raramente riescono a vivere oltre i 5 anni.
    ho appena acquistato un masterizzatore dvd per ri-backuppare le iso di tutti i miei cd e la metà di quelli con più di 2 anni non sono completamente leggibili (parlo di copie di sicurezza che sono rimaste nelle custodie dopo i backup, quindi prive di graffi sulla superficie)
  • - Scritto da: picdp
    > ho appena acquistato un masterizzatore dvd
    > per ri-backuppare le iso di tutti i miei cd
    > e la metà di quelli con più di
    > 2 anni non sono completamente leggibili
    Che supporti hai usato?

    Io ho TDK e Verbatim registrati nel 1998 che sono ancora in ottimo stato. Cmq concordo che i cdr sono pessimi per tenere dati "a lungo termine": per dati importanti la soluzione migliore sono hard disk di alta qualità in raid mirror.
  • Innanzi tutto, complimenti per l'articolo.
    Sono un commercialista che da diversi anni trasmette telematicamente le dichiarazioni dei redditi, ed anche i contratti di locazione. Vorrei, provare a rispondere al suo primo quesito:
    non posso negare di aver trasmesso e/o asseverato le dichiarazioni, anche e sopratutto perchè il Ministero mi ha successivamente inviato i files di ricezione, avvenuta regolarmente.
    Per quanto attiene il secondo quesito, Lei ha perfettamente ragione, infatti per ora preferisco il cartaceo, e quando la situazione sarà chiara allora mi attiverò per archiviare su supporto informatico.
    Piuttosto, sia per attestare la compilazione di un documento, sia per crittografarlo, è da diversi anni che utilizzo il PGP, molto più pesante (quindi più sicuro) della crittografia utilizzata per la trasmissione delle dichiarazioni, ma, per motivi economici, non riconosciuta ufficialmente.
    Non sarà possibile fermare la tecnologia, e penso, che il futuro sarà quello dell'archiviazione su supporto informatico.
    non+autenticato
  • > Non sarà possibile fermare la
    > tecnologia, e penso, che il futuro
    > sarà quello dell'archiviazione su
    > supporto informatico.

    Sicuramente.
    Quello che personalmente mi preoccupa è che i nostri politici non abbiano idee abbastanza chiare sui requisiti di sicurezza minimi per tali archiviazioni.
    Oltretutto, un pericolo più immediato ed evidente è che se non si adotta un unico o un'unica serie di formati standard pensati apposta per tali delicati documenti, nel giro di 5 anni le PA e parecchi cittadini non saranno più in grado di leggere i vecchi files.

    :>Nime
    non+autenticato
  • - Scritto da: Anonimo
    > Innanzi tutto, complimenti per l'articolo.
    > Sono un commercialista che da diversi anni
    > trasmette telematicamente le dichiarazioni
    > dei redditi, ed anche i contratti di
    > locazione. Vorrei, provare a rispondere al
    > suo primo quesito:
    > non posso negare di aver trasmesso e/o
    > asseverato le dichiarazioni, anche e
    > sopratutto perchè il Ministero mi ha
    > successivamente inviato i files di
    > ricezione, avvenuta regolarmente.
    > Per quanto attiene il secondo quesito, Lei
    > ha perfettamente ragione, infatti per ora
    > preferisco il cartaceo, e quando la
    > situazione sarà chiara allora mi
    > attiverò per archiviare su supporto
    > informatico.
    > Piuttosto, sia per attestare la compilazione
    > di un documento, sia per crittografarlo,
    > è da diversi anni che utilizzo il
    > PGP, molto più pesante (quindi
    > più sicuro) della crittografia
    > utilizzata per la trasmissione delle
    > dichiarazioni, ma, per motivi economici, non
    > riconosciuta ufficialmente.

    Il problema di PGP e' che e' quasi una "autocertificazione" giacche' non prevede un' autorita' centrale ufficialmente riconosciuta che firmi le chiavi pubbliche. PGP prevede un modello di certificazione distribuito (web of trust) e una MIA chiave pubblica e' tanto piu' valida quanto piu' e' sottoscritta e riconosciuta da soggetti terzi (questo pero' tende ad aumentare la lunghezza delle chiavi) mentre la PA ha preferito usare un modello centralizzato-gerarchico che si basa su una CA (Certification Authority) e il protocollo X509 per motivi inerenti ad una gestione piu' semplice dei certificati stessi e perche' e' un modello piu' simile al suo modello strutturale burocratico notoriamente e storicamente centralizzato e gerarchico e quindi piu' facile (dal loro punto di vista) da implementare senza dover stravlgere prassi e protocolli consolidate.
    Inoltre (fatto importante) consente alla PA di avere un controllo su chi certifica, cosa piu' difficile con il modello WEB.
    Questa e' l' unica differenza di rilievo tra PGP e X509... perche' poi in pratica sfruttano le stesse tecnologie crittografiche. X509 pero' e' , a mio parere, piu' semplice da gestire.
    Esistono implementazioni OPen che consentono di lavorare con il formato X509, io conosco OPenSSL, che e' un protocollo ma e' anche un' eseguibile (si chiama proprio openssl)
    e gestisce completamente X509 come le applicazioni proprietarie, ha bisogno di interfacciarsi ad applicazioni esterne per leggere le smartrcard ma e' ampiamente utilizzabile, esiste una applicazione per Linux molto interessante che consente di firmare i documenti utilizzando la smartcard (seriale o USB) e X509 tramite OpenSSL.
    Tuttavia ultimamente anche PGP puo' importare i certificati X509:
    http://www.amagri.it/PGP_7.0.3_Freeware/certificat...

    ==================================
    Modificato dall'autore il 13/02/2004 15.22.15


    ==================================
    Modificato dall'autore il 14/02/2004 2.41.12
  • Salve,
    il dominus dello studio in cui lavora utilizza il servizio http://praticheweb.it che memorizza i documenti in forma codificata a 128 bit su un database protetto.
    Vengono tenuti online e poi tutto viene regolarmente, a differenti scadenze, rigorosamente STAMPATO.

    Non capisco, questo modo di procedere è giusto?
    non+autenticato