Infatti leggi, casi concreti e strumenti sono i principali fattori al centro di questo interessante e, allo stesso tempo, delicato tema. Oggi scopriremo alcuni spunti utili con l’Avv. Anna Capoluongo partner @ Studio Legale Capoluongo, esperta nel diritto civile e delle nuove tecnologie.

1) Quando parliamo di e-law per le pmi, a cosa ci riferiamo nel concreto?

Con il termine e-law si vuole individuare quella branca del diritto di nuova generazione che concentra i propri sforzi nello studio delle tematiche legate alle nuove tecnologie e nella risoluzione di tutti quegli impasses dovuti all’interfacciarsi del giuridico con la realtà digitale.

In buona sostanza, passatemi l’espressione, significa trovare la quadra tra diritto, norme applicabili e una realtà dinamica come quella del digital e dei new media.

2) Quanto e perché è importante parlare di e-law per le pmi oggi giorno?

Importantissimo. Basti pensare che nell’ultimo anno (marzo 2015 – giugno 2016), in Italia, si è rilevato un tasso di aumento delle nuove imprese (start up innovative) del +9,27% contro il +1,16% delle società di capitali. La nuova frontiera della produttività aziendale è rappresentata, senza ombra di dubbio, dall’utilizzo delle nuove tecnologie e dall’investimento delle Società nelle stesse. La portata di tutto ciò è evidente, ma perché possa coincidere con un equivalente aumento di produttività deve necessariamente fondare le proprie basi su una solida incastellatura giuridica. Ancora troppo spesso i profili legali della materia vengono visti come meri costi, quando, invece, i veri costi derivano proprio dalla sottovalutazione di tali tematiche. Bisogna curare l’impresa a 360°.

3) Quali aspetti le pmi dovrebbero ritenere interessanti e quindi affrontare per vivere in modo fiorente il cambiamento digitale?

Se non si é digital, si piace di meno.

Essere al passo con la concorrenza, superarla, innovare e distinguersi, suscitare nell’utente finale un “pensiero” positivo ed un attaccamento al brand.

Bisogna curare l’”aspetto”, ma con la certezza di avere solide basi di rispetto delle normative.

Le PMI devono, quindi, concentrarsi anche sugli aspetti contrattualistici, di privacy, di informativa, consenso, conservazione e cancellazione dei dati, e-commerce, smart working, fatturazione elettronica, proprietà industriale, sistemi biometrici etc.

In poche parole: reputation, sentiment, marketing e, ovviamente, e-law.

Possiamo dedure, come anticipato all’inizio, che le realtà definite PMI non sono esenti da questa nuova disciplina. Anzi, forse sono proprio quest’ultime ad averne più bisogno e spesso non se ne ha la giusta consapevolezza.

Ringraziamo l’avvocato Anna Capoluongo per i preziosi spunti, ti ricordiamo che è possibile trovare maggiori approfondimenti “E-Law: il diritto al tempo del digital”. Commenta oppure scrivici se ricerchi informazioni più specifiche.

L'articolo E-Law per le PMI ai tempi del digital sembra essere il primo su Osservatorio Digitale PMI.

Oggi sono disponibili nuovi strumenti per la comunicazione e le attività di marketing, vendita e customer care. Strumenti in prevalenza disponibili online e capaci di snellire diversi processi aziendali e di influenzare la reputazione online. Come orientarsi quindi? In risposta abbiamo arricchito le nostre pubblicazioni con il nuovo libro dal titolo “E-law: il diritto al tempo del digital” scritto da Anna Capoluongo, Luca Fabbroni e a cura di Roberto Lo Jacono. Scopri tutte le nuove curiosità!

Al giorno d’oggi sono disponibili nuovi strumenti per la comunicazione, per il marketing, per la vendita e per il customer care. Ci riferiamo a quel mondo digital che vede nel web, nel mobile, nelle piattaforme di vendita on line, nei social media, nel content marketing – e non solo – una serie di mezzi che possono abilitare significativi cambiamenti nei tradizionali modelli di business.

Cambiare significa adottare modelli organizzativi diversi, relazioni differenti con fornitori e clienti, migliori livelli di servizio, scenari spazio-temporali più ampi, modalità alternative di posizionamento sui mercati e molto altro. Sostanzialmente vuol dire “fare impresa” grazie a nuovi paradigmi, accogliendo, de facto, una vera e propria trasformazione delle logiche aziendali, dei modelli e dell’impresa stessa.

Questa “rivoluzione digitale” può verificarsi all’interno di aziende di qualsiasi dimensione, ma ha un impatto particolare – e sostanziale – sull’universo delle Piccole e Medie Imprese, nonostante questo sia caratterizzato dalla presenza di realtà piuttosto prudenti, e, talvolta, persino scettiche nei confronti degli strumenti e delle tecnologie digitali.

Le PMI italiane di fronte a questi temi si ritrovano, in generale, disorientate e, temendo di fare passi falsi, spesso si bloccano. Alcune, per fronteggiare i sensibili mutamenti verificatisi nel panorama comunicativo, hanno iniziato ad esplorare il mondo digital, mentre altre se ne sono completamente estraniate, rimanendo affezionate a modelli che, per il momento, le mantengono in una sorta di “comfort zone” sulla scorta di pensieri quali: “non conosco”, “non faccio”, “finora è andata bene”, “abbiamo sempre fatto così”.

Chi ha avuto il coraggio di muovere i primi passi, oltre ad affrontare temi quali digital strategy e conoscenza approfondita degli strumenti digital, ha potuto constatare che risulta necessario conciliare tecnologie e logiche del web con le norme vigenti in fatto di dati, di informazioni pubblicate in rete e di tutti quegli aspetti che il Diritto di internet va a normare.

Per questo motivo abbiamo dato vita a una nuova pubblicazione edita dall’ Osservatorio digitale delle PMI – E-Law: il diritto al tempo del digital. Questa pubblicazione nasce con l’obiettivo di fornire alle PMI italiane una guida per districarsi fra le numerose e talora poco intuitive normative in tema di diritti digitali, privacy, e-labour & civil law, nonché digital desk. Non si propone di essere in tutto e per tutto esaustiva, in quanto la vastità dell’argomento non lo consentirebbe, ma di rappresentare uno strumento utile e di facile consultazione per tutte le aziende che desiderano o sentono la necessità di approfondire il tema.

E-law: indice e temi trattati

Il primo capitolo, muove da una panoramica relativa alla dichiarazione dei diritti di internet che aiuti a far comprendere i passi effettuati per regolamentare questa materia, con un focus particolare sul diritto

all’oblio. Una normativa, questa, utile per monitorare e proteggere la propria identità online.

Nel secondo capitolo, invece, vengono delineati i tratti fondamentali del delicato ambito che va sotto il nome di “Privacy”, con una veloce digressione sulle novità normative in materia, per, poi, chiudere con la ricetta da seguire per applicare i corretti strumenti di monitoraggio del traffico online (Cookie Law).

Last but not least, nel terzo e nel quarto capitolo, si affrontano aspetti dal carattere tecnico, perché parlando di creare e-commerce a prova di legge, di firma digitale, PEC e altri servizi non è possibile evitare il decalogo normativo e alcuni accenni sulla tecnologia utilizzata.

Troppo spesso, presi dalla frenesia quotidiana, rendiamo pubblicamente disponibili online numerose informazioni senza effettivamente sapere quali siano realmente i nostri doveri ed i nostri diritti, incappando, così, in episodi spiacevoli come nel caso CryptoLocker (Capitolo 4.2 Sicurezza Digitale) e trovandoci, poi, obbligati a seguire una lunga procedura che, ahimè, blocca la nostra azienda.

Meglio pensarci prima non credi? Acquista E – Law al tempo del digital nella versione Ebook, disponibile nei maggiori Store online. Collegati al tuo preferito!

Buona lettura.

L'articolo E-Law: La privacy ai tempi di internet sembra essere il primo su Osservatorio Digitale PMI.

Strumenti con scopo ancora diverso sono invece la CNS ed il recente SPID, che consentono al cittadino ed all’impresa di farsi riconoscere ed autenticarsi ai servizi online delle pubbliche amministrazioni.

Le firme elettroniche e la firma digitale

E’ bene sapere, prima di tutto, che vi sono differenti tipologie di firme elettroniche ed il Codice dell’Amministrazione Digitale ne definisce all’art. 1 ben quattro tipi diversi, con caratteristiche specifiche e valore giuridico differente:

1) la firma elettronica semplice: è una firma debole ed il valore di un documento firmato con la stessa è liberamente valutabile in giudizio. La definizione del CAD è volutamente generica e nel novero delle firme elettroniche semplici rientrano strumenti del più vario e differente tipo. Sono firme elettroniche semplici ad esempio il pin del bancomat, la login e la password per accedere alla propria casella di posta elettronica;

2) la firma elettronica avanzata: di più recente introduzione rispetto alle altre firme, consente di collegare in modo univoco il firmatario al documento firmato. Ciò è possibile grazie all’uso di strumenti di firma sui quali il firmatario mantiene un controllo esclusivo. Una delle più diffuse firme elettroniche avanzate è la firma grafometrica, che si appone tramite apposite lavagne sensibili al tocco disegnando con una apposita penna la propria firma, in modo analogo alla firma su carta. A livello giuridico, la firma elettronica avanzata apposta su un documento informatico gli da lo stesso valore di una scrittura privata.

3) la firma elettronica qualificata: si tratta di un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma. Possono rilasciare certificati di firma qualificati solo enti certificatori accreditati presso AgID (in modo analogo a quanto avviene per il rilascio delle caselle PEC). Compito del certificatore è garantire che il certificato emesso corrisponda in modo univoco al titolare al quale è stato rilasciato. L’uso della firma elettronica qualificata è vincolato all’utilizzo di specifici dispositivi sicuri quali smartcard o token usb.

4) la firma digitale: è “un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.

L’elemento di sicurezza aggiuntivo della firma digitale, rispetto alla firma elettronica qualificata, è l’uso di due chiavi asimmetriche, una privata, segreta ed in possesso del solo titolare, ed una pubblica. La chiave privata è utilizzata per generare la firma digitale, mentre grazie alla chiave pubblica, disponibile in pubblici elenchi, è possibile verificare l’autenticità della firma. Vi è una corrisponde univoca tra la chiave privata e quella pubblica: infatti ad una chiave privata può corrispondere una sola chiave pubblica.

Il certificato di firma digitale (detto anche di sottoscrizione), viene memorizzato su un dispositivo hardware sicuro, in genere smartcard o token USB, ed è spesso accompagnato da un certificato di autenticazione di tipo CNS, che consente con lo stesso dispositivo fisico di essere riconosciuti ed effettuare l’accesso sicuro a siti internet o postazioni di lavoro.

In relazione al valore legale sempre il Codice dell’Amministrazione Digitale stabilisce all’ art. 21): “Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria”.

Pertanto, la firma digitale apposta su un documento informatico, consente di accertarne la paternità e l’integrità con pieno valore legale e gli fornisce la medesima efficacia della scrittura privata (art. 2702 c.c.).

La certezza che solo il titolare abbia firmato il documento, collegata alla presunzione di utilizzo prevista dalla normativa, è basata dalla necessità di utilizzo congiunto del dispositivo fisico (in possesso esclusivo del firmatario – che ha altresì per legge obblighi di custodia) e del codice PIN (segreto ed in possesso del solo titolare). Si aggiunga a ciò il ruolo del certificatore che garantisce la correttezza della informazioni anagrafiche presenti sul certificato di firma.

L’integrità è garantita invece dall’impossibilità di modificare il documento una volta firmato senza che ne sia compromessa la verifica, qualsiasi modifica successiva al documento è infatti tracciata ed evidenziata durante la validazione della firma.

Esistono infine tre diversi formati di firma:

* CAdES (estensione file .p7m), consente di firmare qualsiasi file, che viene inserito all’interno di una busta crittografica PKCS7. Pertanto per poter visualizzare il documento firmato è necessario utilizzare un apposito programma per la verifica della firma digitale;

* PAdES (estensione file .pdf), è uno standard che inserisce la firma digitale all’interno del file PDF. Non sono necessari programmi aggiuntivi per leggere il documento firmato, tuttavia è un formato di firma utilizzabile solo per i documenti in formato PDF;

* XAdES (estensione file .xml), al momento poco utilizzato, consente di firmare solo i file in formato xml.

La normativa di riferimento sulla firma digitale

Varie e di differente origine e natura sono le norme che si occupano e regolamentano la firma digitale e le firme elettroniche in generale, in ordine gerarchico, partendo dall’alto:

–          Direttiva 1999/93/CE, relativa ad un quadro comunitario per le firme elettroniche

–          Codice dell’Amministrazione Digitale (DLGS 82/2005 e succ. modifiche)

–          DPCM 22 febbraio 2013, regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali

–          Determinazioni AgID, specifiche tecniche emanate dall’Agenzia per l’Italia Digitale (l’agenzia governativa che ha il compito di garantire la realizzazione degli obiettivi dell’Agenda digitale italiana in coerenza con l’Agenda digitale europea)

La Carta Nazionale dei Servizi (CNS)

Prevista dal DPR 2 marzo 2004, n. 117 e diffusa in molte regione come tessera sanitaria / Carta Regionale dei Servizi (CRS), la Carta Nazionale dei Servizi, in breve CNS, è una smartcard che contiene al suo interno un certificato di autenticazione qualificato che consente al cittadino la fruizione dei servizi online della pubblica amministrazione. L’obiettivo prefissato era di fornire uno strumento unico per poter accedere ai servizi telematici esistenti e di nuova realizzazione forniti dalle diverse PA.

Il successo della CNS è stato limitato principalmente dallo scarso utilizzo dello strumento da parte degli utenti finali e dal fatto che solo poche amministrazioni, prevalentemente centrali (es. INPS, Agenzia delle Entrate) e regionali hanno adottato come strumento di autenticazione la CNS.

Obiettivo dello SPID, di cui ci occuperemo di seguito, è superare questi limiti con uno strumento di utilizzo il più possibile diffuso ed universale.

Il Servizio Pubblico per la gestione dell’Identità Digitale (SPID)

Previsto dal DPCM 24 ottobre 2014 e diventato operativo a marzo 2016, lo SPID è un sistema di autenticazione che permette a cittadini e imprese di accedere ai servizi online della pubblica amministrazione e dei privati aderenti con un’identità digitale unica, costituita da credenziali (nome utente e password) che vengono rilasciate all’utente e che permettono l’accesso a tutti i servizi online. Al momento sono attivi tre fornitori di identità digitali (Infocert, Poste Italiane e TIM), che rilasciano, gratuitamente per i primi due anni, le credenziali di accesso.

Sono previsti tre livelli di sicurezza per l’utilizzo di SPID, il primo quello base fa uso delle sole login e password rilasciate al momento dell’attivazione. Per un accesso più sicuro è previsto il livello 2, che richiede in aggiunta alle credenziali precedenti anche una password temporanea (one time), inviata di solito via mail o sms. Il terzo livello, non ancora implementato, prevede l’utilizzo di un dispositivo fisico di autenticazione aggiuntivo quale una smartcard.

Per ora sono ancora pochi i servizi accessibile tramite SPID, essenzialmente si tratta di alcune pubbliche amministrazioni centrali (Agenzia delle Entrata, INPS, INAIL) e poche amministrazioni locali e regionali. L’obiettivo del Governo è che entro due anni tutte le pubbliche amministrazioni adottino SPID come canale di accesso unico ai propri servizi, raggiungendo una diffusione superiore a quella che ha avuto la Carta Nazionale dei Servizi.

Siti utili:

http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/firme-elettroniche

http://www.progettocns.it/

http://www.spid.gov.it/

Dott. Luca Frabboni

Esperto in informatica giuridica e giudiziaria Maat Srl

www.maatsrl.it

L'articolo PEC, firma digitale, CNS, e SPID – seconda parte sembra essere il primo su Osservatorio Digitale PMI.

Dopo che a dicembre 2015 ha visto la luce il testo del Regolamento, il nuovo anno porterà con sé la sua inclusione all’interno di un progetto di riforma della privacy – e quindi la sua entrata in vigore, prevista per primavera 2016 – e l’obbligo di uniformarsi entro i successivi due anni – e dunque la sua applicabilità a partire dalla primavera 2018.

Il tanto atteso il Codice Privacy Europeo va ad interessare principalmente due ambiti, quello relativo all’uso dei dati personali nel settore della sicurezza e delle attività di polizia e giustizia (mediante una direttiva che andrà recepita nei singoli Stati), e quello relativo all’uso degli stessi con riferimento a tutti i soggetti privati (sia persone fisiche che giuridiche) e ad alcuni soggetti pubblici (mediante un regolamento immediatamente applicabile).

Il Regolamento Europeo della privacy nasce per dare una normativa ad aspetti ancora non coperti da tutela e regolamentazione, quali ad esempio il diritto all’oblio, il diritto alla portabilità dei dati, la valutazione dell’impatto dell’utilizzo dei dati, il controllo, l’informativa e la figura del Data Protection Officer (DPO).

Grazie alla peculiare natura di unicum (votato al principio della leale concorrenza), il Regolamento sarà applicabile in tutti gli Stati membri ed anche nei confronti di quelle aziende extra-europee che, però, offrano servizi o beni all’interno del mercato europeo.

Come anticipato, il progetto di regolamento affronta tematiche di estrema rilevanza, quali:

• diritti degli interessati (necessità del chiaro consenso dell’interessato al trattamento dei dati personali – accesso facilitato dell’interessato ai suoi dati personali – diritto alla rettifica, alla cancellazione e “all’oblio” – diritto di obiezione, anche riguardo all’uso dei dati personali a fini di “profilazione” – diritto di portabilità dei dati da un prestatore di servizi a un altro);
• obblighi generali dei responsabili del trattamento dei dati personali;
• obbligo di attuare misure di sicurezza (Privacy Impact Assessment) adeguate in funzione del rischio (valutato in relazione alle operazioni di trattamento dei dati);
• obbligo (per i titolari del trattamento – Data controller) di attuare misure tecniche ed organizzative in grado di dimostrare la conformità del trattamento dei dati personali a quanto prescritto dal Regolamento;
• nomina di un responsabile della protezione dati (obbligatorio per PA e per aziende che trattano dati particolarmente sensibili);
• responsabilità e sanzioni per i responsabili del trattamento (fino a 20 milioni di Euro o al 4% del fatturato annuo globale);
• privacy by design (tutela del dato fin dalla progettazione) e by default (tutela della vita privata per impostazione predefinita);
• obbligo (per gli Stati membri) di istituzione di un’autorità di controllo indipendente a livello nazionale;
• diritto di proporre reclamo all’autorità di controllo;
• diritto a presentare ricorso giurisdizionale e diritto al risarcimento;
• diritto ad ottenere il riesame da parte di un giudice nazionale delle decisioni adottate dalle rispettive autorità preposte alla protezione dei dati, a prescindere dallo Stato membro in cui è stabilito il responsabile del trattamento dei dati;
• istituzione di un comitato europeo per la protezione dei dati;
• d. one-stop-shop o sportello unico (le società attive con controllate in diversi Stati membri dovranno interagire solo con l’autorità preposta alla protezione dei dati nello Stato membro in cui ha lo stabilimento principale);
• trasferimento di dati personali a paesi terzi e organizzazioni internazionali, affidando alla Commissione i compiti di verifica del livello di protezione offerto da un territorio o da un settore di trattamento (n.b. il Regolamento riconosce BCRs come meccanismo valido per trasferire dati fuori dall’UE).

Tutto ciò per le PMI si tradurrà, fortunatamente, in una diminuzione dei costi e degli oneri burocratici grazie ad un approccio che permetterà di parametrare gli obblighi all’effettivo rischio corso dalla singola azienda. Per fare un esempio, infatti, grazie alIl Codice Privacy Europeo, per le aziende di piccole e medie dimensioni vengono aboliti sia gli obblighi di notifica alle autorità di controllo (stimati in ca. 130 milioni di Euro/anno) che quelli di valutazione d’impatto del rischio (salvo in caso di rischi elevati), nonché quelli di nomina del responsabile per la protezione dei dati (se il trattamento dati non é attività prevalente).

Ancora, a fronte di richieste di accesso ai dati che non siano fondate o siano eccessive viene riconosciuta in capo alle PMI la facoltà di domandare il risarcimento delle spese.

E’, quindi, evidente – come ha detto anche il presidente di Federprivacy Nicola Bernardi – che

con l’approvazione del regolamento europeo, le aziende hanno adesso una opportunità unica di sfruttare il mercato digitale. 

Ora non resta che essere open minded e affidarsi a professionisti specializzati.

Avv. Anna Capoluongo

L'articolo La privacy in Europa: quali sono le novità? sembra essere il primo su Osservatorio Digitale PMI.

un particolare tipo di firma elettronica avanzata.

Vediamo di capirci un po’ di più.

Gli aspetti normativi della PEC

La PEC è uno strumento che consente di inviare messaggi di posta elettronica con pieno valore legale, pari a quello della raccomandata con ricevuta di ritorno.

L’art. 48 del CAD, infatti, prevede che la trasmissione telematica di comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna avvenga mediante posta elettronica certificata. In questo modo, una trasmissione dati assume lo stesso valore della notificane per mezzo posta. Questo significa che la data e l’ora relativi alla trasmissione e alla ricezione di un documento informatico, trasmesso a mezzo PEC, possono diventare un’arma legale tanto quanto una raccomandata con ricevuta di ritorno.

Successivamente una serie di norme, prima la D.L. 185/2008 (conv. L. 2/2009), da ultimo il DL 179/2012 (conv. L.221/2012), sono intervenute per rendere obbligatorio per imprese, professionisti e PA, il possesso di un indirizzo di Posta Elettronica Certificata. Già dal 2009, era d’obbligo dichiarare il proprio indirizzo PEC all’atto dell’iscrizione al registro imprese, ma la retroattività della norma è scattata solo nel 2011. Tempi più lunghi per le ditte individuali, per le quali l’obbligo è arrivato solo a fine giugno 2013.
Contestualmente, dal primo luglio 2013, la posta elettronica certificata è diventata il canale di comunicazione esclusivo tra imprese e pubblica amministrazione, non essendo più accettate le comunicazioni in forma cartacea.

La normativa vigente ha anche previsto la creazione di un elenco pubblico online, l’INIPEC, liberamente accessibile a tutti, dove trovare gli indirizzi PEC di imprese e professionisti. In modo analogo l’Indice PA consente di individuare gli indirizzi PEC di tutti gli enti pubblici, centrali e locali, di ogni ordine e livello.

Come funziona la PEC

Se visto dal lato dell’utente, l’invio di un messaggio di posta elettronica certificata non è differente dall’uso di una tradizionale mail. Ciò che cambia sta dietro, nel funzionamento dei server dei gestori del servizio. Il fulcro del sistema PEC ruota attorno ai gestori, che, rispetto ai normali provider di posta elettronica, devono garantire l’adempimento di tutta una serie di specifiche procedure formali e tecniche. Il servizio di posta elettronica certificata è infatti fornito solo da gestori accreditati e certificati presso AgID (Agenzia per l’Italia Digitale), ente nazionale che ha il compito di coordinare e gestire lo sviluppo dell’agenda digitale italiana.

Come funziona? Il gestore PEC identifica il titolare della casella al momento del richiesta della stessa, motivo per cui è necessario mostrare o inviare un documento di identità in corso di validità, quale requisito essenziale ai fini dell’attivazione dell’indirizzo.

A livello tecnico, i gestori devono tenere traccia di tutte le operazioni svolte su un apposito log dei messaggi, le ricevute devono contenere un riferimento temporale per garantire la certificazione dell’invio e della ricezione, deve essere garantita l’integrità del messaggio di posta elettronica (motivo per cui il messaggio inviato è contenuto all’interno di una busta di trasporto, firmata elettronicamente dal provider).

1. Per ogni mail inviata sono generate due ricevute, la prima è la ricevuta di Accettazione proveniente dal proprio gestore PEC, che attesta il momento dell’invio e la presa in carico del messaggio.
2. La seconda ricevuta arriva nella casella del mittente una volta che il gestore PEC del destinatario consegna il messaggio nella casella di destinazione, questa è la ricevuta di avvenuta consegna che attesta il momento della ricezione ed è opponibile a terzi.

Indipendentemente dall’avvenuta lettura del messaggio da parte del destinatario, la ricevuta di avvenuta consegna è rilasciata dal gestore contestualmente alla consegna del messaggio PEC nella casella di posta elettronica del destinatario.

Anche le anomalie sono tracciate ed è prevista la generazione di una specifica ricevuta che attesta sia l’esito negativo della consegna del messaggi che l’avviso di mancata consegna. Tale notifica viene recapitata al mittente entro 24 ore dall’invio. All’interno dell’avviso è specificato, in lingua inglese, il motivo della mancata consegna del messaggio, che in genere, è dovuto a:

• casella PEC del destinatario piena e quindi non più in grado di ricevere messaggi (mailbox disk quota exceeded)
• indirizzo PEC inesistente o sbagliato (User unknown / mailbox unavailable o simili).

Dott. Luca Frabboni

Esperto in informatica giuridica e giudiziaria Maat Srl

L'articolo PEC e firma digitale sembra essere il primo su Osservatorio Digitale PMI.

Se da un lato é necessario adattarsi ed approdare ai nuovi scenari digitali del mondo del lavoro, dall’altro non si deve temere di perdere il controllo della buona riuscita e della qualità del servizio offerto. Il datore, difatti, nell’incentivare il “lavoro intelligente” non deve pensare di vedersi negati diritti riconosciuti utilizzando le prestazioni “classiche o ordinarie”.

Ossia? Presto detto.

In capo al datore permangono poteri di controllo che – ben adoperati – permettono il proficuo utilizzo dei mezzi tecnologici, senza dover rinunciare a sapere che gli stessi vengano correttamente adoperati dai dipendenti.

1. Poteri del datore.

Gli articoli di riferimento sono principalmente il 2086 c.c., il 2104c. 2 c.c., il 2105 c.c., il 2106 c.c. e art. 7 L. 300/1970 ed i corrispondenti poteri si estrinsecano: nell’essere l’imprenditore il capo dell’impresa e pertanto da lui dipendono gerarchicamente i collaboratori (gerarchico); nel dover – il lavoratore – osservare le disposizioni impartite dall’imprenditore e dai suoi collaboratori (di direzione) e nell’utilizzare la diligenza dovuta nell’esecuzione della prestazione (di controllo); nel non dovere – il lavoratore – trattare affari in concorrenza con l’imprenditore né divulgare notizie attinenti l’impresa (obbligo di fedeltà) e nella possibilità – per il datore – di applicazione di sanzioni disciplinari, secondo la gravità dell’infrazione (sanzionatorio).

2. Principi che li limitano.

Il “calmiere” di tali poteri é rappresentato dal rispetto dei seguenti principi:
– Necessità
– Correttezza
– Liceità
– Pertinenza e non eccedenza e dal divieto di profilazione.

3. Limiti ex Statuto dei Lavoratori.

Art. 2: Il datore di lavoro può impiegare guardie giurate, ma solo per scopi di tutela del patrimonio aziendale. E’ fatto divieto al datore di lavoro di adibire alla vigilanza sull’attività lavorativa tali guardie, le quali non possono accedere nei locali dove si svolge tale attività, durante lo svolgimento della stessa, se non eccezionalmente per specifiche e motivate esigenze.
Art. 3: I nominativi e le mansioni specifiche del personale addetto alla vigilanza dell’attività lavorativa debbono essere comunicati ai lavoratori interessata.
Art. 5: Sono vietati accertamenti da parte del datore di lavoro sulla idoneità e sulla infermità per malattia o infortunio del lavoratore dipendente. Il controllo delle assenze per infermità può essere effettuato soltanto attraverso i servizi ispettivi degli istituti previdenziali competenti, i quali sono tenuti a compierlo quando il datore di lavoro lo richieda.
Art. 6: Le visite personali di controllo sul lavoratore sono vietate fuorché nei casi in cui siano indispensabili ai fini della tutela del patrimonio aziendale, in relazione alla qualità degli strumenti di lavoro o delle materie prime o dei prodotti.
Tali visite devono essere condotte salvaguardando la dignità e la riservatezza del lavoratore e che avvengano con l’applicazione di sistemi di selezione automatica riferiti alla collettività o a gruppi di lavoratori.
Art. 8: E’ fatto divieto al datore di lavoro, ai fini dell’assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.
Il Jobs Act ha provveduto alla modifica dell’articolo 4 della L.300/’70 (sui controlli a distanza) andando a chiarire aspetti di una certa rilevanza che vale la pena di illustrare sinteticamente nei punti a seguire.

4. Modifiche all’art. 4 c. 1.

Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono:
– essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale
– essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali o previa autorizzazione della Direzione territoriale del lavoro.

5. Modifiche all’art. 4 c. 2.

La previa autorizzazione non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

6. Modifiche all’art. 4 c. 3.

Le informazioni raccolte mediante i sistemi di controllo a distanza sono utilizzabili a tutti i fini connessi al rapporto di lavoro (quindi anche disciplinari),dietro adeguata informativa (al lavoratore) delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal Codice della Privacy.

7. Controlli difensivi.

Inapplicabilità del divieto ex art. 4 S.L., ma sottoposizione al rispetto del Codice della Privacy per quei controlli posti in essere per vagliare qualsiasi condotta illecita (impieghi abusivi e/o commissione di illeciti) volta a ledere il patrimonio aziendale (a condizione che le stesse condotte illecite non riguardino, né direttamente né indirettamente, l’attività lavorativa).
Possono essere preventivi (non rientrano nella disciplina ex art. 4 quando sono giustificati dalla salvaguardia di determinati beni; quando non sono indiscriminati; quando rispettano i principi di privacy) o successivi (non rientrano nell’applicazione dell’art. 4 se sono conseguenti a fondati sospetti qualificati da indizi gravi, precisi e concordanti).

8. Navigazione internet.

La semplice dotazione dei pc non rientra nell’ambito di applicazione dell’art. 4.
Il controllo non deve essere continuo ed indiscriminato.
L’unico accesso ai log (tracciamento dei log) ammesso senza preventiva informativa è per scopi/controlli difensivi.

9. E-mail.

Si hanno orientamenti diversi e contrapposti in giurisprudenza:

• il controllo é invasivo in quanto esiste un’aspettativa di segretezza rispetto allo strumento “e-mail” VS
• l’e-mail aziendale non può essere classificata come corrispondenza chiusa.

E’ stato considerato legittimo il controllo sulla posta elettronica nei casi in cui il lavoratore fosse a conoscenza della possibilità di tale controllo (es. indirizzo riferibile all’azienda, oppure comunicazione al datore di lavoro della propria password di accesso alla casella di posta).

10. PC.

Si rileva che il datore di lavoro può effettuare dei controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare l’effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro, purché nel rispetto della libertà e della dignità del lavoratore, nonché, dei principi di correttezza, pertinenza e non eccedenza di cui all’art. 11, comma 1 Codice della Privacy.

Avv. Anna Capoluongo

L'articolo Controlli a distanza per l’online: un vademecum. sembra essere il primo su Osservatorio Digitale PMI.

Le PMI in particolare, qualunque sia il settore in cui operano, costituiscono un bersaglio molto invitante per i criminali, informatici e non solo. Rispetto alla aziende più grandi e strutturate, ove sono quasi sempre presenti responsabili IT e competenze specifiche, i dati informatici delle PMI spesso sono meno al sicuro e protetti, soprattutto per la scarsa consapevolezza dei rischi che si corrono e dei danni che si possono subire. È tuttora diffusa la falsa convinzione che le grandi aziende siano più appetibili ai pirati informatici, rispetto a quelle più piccole e, pertanto, non ci si considera a rischio. La realtà è purtroppo diversa. La sicurezza informatica è importante per tutti.

Un sondaggio realizzato nel 2014 da PriceWaterHouseCoopers indica che il 60% delle PMI ha subito un attacco o una violazione della sicurezza informatica.  Lo stesso Security Breaches Survey 2014 attesta poi in 7-10 giorni i tempi medi necessari all’azienda per ritornare pienamente operativa dopo l’evento.

Il caso CryptoLocker

La crescente diffusione di CryptoLocker e delle sue varianti, anche più insidiose, individuate negli ultimi mesi, ha destato molto allarme. Il virus, infatti, ha mietuto numerose vittime, in ambito aziendale e non solo. Basta fare una ricerca sul Web con le due parole cryptolocker e tribunale, per trovare decine di casi di infezione che hanno colpito i sistemi informatici di diversi palazzi di giustizia in tutta Italia. Basta aprire con leggerezza l’allegato ad un messaggio email, che risulta provenire, a seconda dei casi, da corrieri per le spedizioni, società telefoniche, banche, agenzie di riscossione tributi. Il messaggio è studiato e realizzato ad arte per essere quanto più verosimile ad uno vero, così da spingere il destinatario ad aprire l’allegata fattura, cartella esattoriale o bolla di spedizione che sia. Il malware, una volta innescato con l’apertura del file allegato alla mail, comincia a crittografare i file contenuti nel computer della vittima, rendendoli inutilizzabili, prendendo di mira in particolare documenti in formato office, pdf, immagini e video. Successivamente, arriva la richiesta di pagare una somma di denaro in moneta virtuale BitCoin, per avere in cambio la chiave di decifratura per riavere i propri file.

Il danno subito da un’azienda vittima di cryptovirus può essere ingente. Se non è stata adottata alcuna strategia di backup la perdita dei dati è irreversibile. A ciò si aggiunge l’ulteriore  ed inevitabile danno economico causato dal fermo delle macchine, bloccate per tutto il tempo necessario a ripulirle dal malware e ripristinarle.

Da dove partire

Le misure minime di sicurezza previste dall’allegato b) del Codice della Privacy (D.Lgs 196/2003 e successive modifiche), adottate e diffuse in larga misura in quasi tutte le PMI sulla spinta del vincolo normativo, possono costituire una base ed un punto di partenza per lo sviluppo di policy e misure di sicurezza più efficaci a garantire la disponibilità e l’inviolabilità della propria infrastruttura tecnologica.

Il Codice della Privacy, prevede infatti all’art. 34, che il trattamento di dati personali, effettuato con  strumenti elettronici, é consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico  contenuto nell’allegato B), una serie di misure minime di sicurezza. Tali misure sono volte, tra l’altro, a ridurre al minimo i rischi di una perdita o distruzione, anche accidentale, dei dati ed un accesso non autorizzato agli stessi. Tra le più importanti è bene menzionare:

• la presenza di un sistema di autenticazione informatica: solo gli utenti dotati di credenziali (login e password) possono effettuare l’accesso alle risorse aziendali;
• le credenziali di autenticazione devono rispettare una serie di requisiti per quanto riguarda la loro lunghezza e complessità;
• la presenza di un sistema di autorizzazione, in modo che gli utenti accedano unicamente alle risorse specifiche in relazione alle proprie mansione ed attività;
• la presenza di software (antivirus e firewall), da aggiornare almeno semestralmente, per proteggere i dati da rischio di intrusione e da danni provocati da virus e similari (art. 615 quinquies c.p.);
• l’aggiornamento periodico dei software per prevenire le vulnerabilità (patch) con cadenza annuale o semestrale, in caso di trattamento di dati sensibili;
• il salvataggio dei dati (backup) con cadenza almeno settimanale.

Tuttavia, l’adozione delle misure di sicurezza è spesso compromessa da una non corretta implementazione ed applicazione concreta della stesse. Qualche esempio esplicativo è d’obbligo. Viene adottato un sistema di autenticazione ed autorizzazione degli utenti, ma le password non rispettano i principi base di sicurezza (es. 8 caratteri alfanumerici, non riconducibili al titolare etc). E’ impostato un backup periodico dei dati, ma non viene fatto su tutti i computer e la cadenza con cui viene effettuato è eccessivamente lunga (se va bene una volta al mese o quando ci si ricorda). E’ installato un programma antivirus sulle postazioni ma non viene mantenuto aggiornato.

Oltre le misure minime di sicurezza informatica, una visione a 360 gradi

Come già detto, le misure minime di sicurezza informatica sono un punto di partenza. Non sono sicuramente sufficienti a garantire una protezione adeguata ai rischi presenti nella moderna società dell’informazione, sempre online e connessa. Basti pensare che le prescrizioni tecniche dell’allegato B, sopra menzionate, indicano come tempistica minima per l’aggiornamento di antivirus e firewall a protezione di sistemi ben 6 mesi, un’ eternità in termini informatici.

Inoltre, l’approccio al problema non deve più limitarsi alla verifica della sicurezza dei  computer (fissi e portatili) e dei server aziendali, ma deve comprendere anche dispositivi quali smartphone e tablet, spesso ignorati. In particolare, l’utilizzo di smartphone e tablet personali per l’accesso telematico alle risorse aziendali (es. gestionali, documenti su server), può costituire un ulteriore rischio di sicurezza. L’uso contemporaneo dello stesso strumento per accedere a siti personali, non legati al lavoro, l’installazione di applicazioni che potrebbero non essere sicure, può costituire infatti un pericoloso cavallo di troia, capace di compromettere l’intera infrastruttura informatica aziendale.

L’espansione del telelavoro, o smart working, come definito nel disegno di legge recente approvato dal Consiglio dei Ministri, comporterà poi per l’azienda lo sviluppo di nuove soluzioni che consentano, a chi lavora da remoto, di avere accesso alle risorse aziendali come se si operasse direttamente in sede. La comunicazione tra postazione remota e server, a meno di non utilizzare connessioni private dedicate, dai costi non alla portata di tutti, avviene in genere con la comune rete internet. Imprescindibile, quindi, una grande attenzione alla sicurezza informatica, sia della postazione remota, che del canale di comunicazione, utilizzando ad esempio l’autenticazione forte (smartcard) e le reti private virtuali (VPN).

Un pensiero finale al Cloud ed alla sicurezza dei dati nella nuvola. Quando ci si affida ad un servizio di Cloud, si da essenzialmente in outsourcing la gestione dei propri dati aziendali, affidando ad un soggetto terzo tutte le problematiche tecniche e di sicurezza. I vantaggi sono diversi: la possibilità di accedere facilmente in mobilità ai propri dati, la flessibilità delle soluzioni, scalabili in base alle esigenze ed alle necessità, e per finire i costi, sicuramente più ridotti rispetto alle tradizionali soluzioni informatiche.  Ma non ci sono rose senza spine.

Se la gestione degli utenti che hanno accesso ai dati sulla nuvola resta in capo al cliente, non bisogna dimenticare che l’accesso a tutti i dati, a meno che non siano cifrati, è sempre possibile anche al personale del fornitore del servizio. La localizzazione fisica dei server, di proprietà del  fornitore che eroga il servizio cloud, è in genere sconosciuta al cliente e potrebbe sembrare irrilevante. Non è così. Dalla posizione fisica degli stessi server, che potrebbero essere ovunque nel mondo, si stabilisce poi quale normativa nazionale è applicata in materia di privacy e sicurezza dei dati. Infine, non meno importante, è la conoscenza delle pratiche e delle procedure di disaster recovery adottate dal fornitore per far fronte a possibili perdite di dati o violazioni della sicurezza.

La più importante difesa resta in ogni caso la consapevolezza e la conoscenza dei rischi che si possono correre nelle quotidiane attività online. La formazione degli utenti è la prima linea per la sicurezza informatica di una PMI, prima ancora delle soluzioni tecnologiche. Qualunque protezione, anche la più avanzata, perde di efficacia, se non accompagnata da regole e policy di uso degli strumenti, seguite con cognizione e non solo perché si è obbligati a farlo.

Dott. Luca Frabboni
Esperto in informatica giuridica e giudiziaria Maat Srl

L'articolo La sicurezza informatica nelle PMI sembra essere il primo su Osservatorio Digitale PMI.

In aggiunta, sono sicuramente da specificarsi le differenti forme che il commercio elettronico può assumere, ossia il B2B (transazioni commerciali elettroniche tra imprese), il B2C (tra imprese e consumatori finali/clienti individuali), il B2A (tra imprese e PA), l’A2A (tra PA) e l’A2C (tra PA e consumatori finali).

La normativa applicabile a tale nuova forma di compravendita è, a grandi linee, riassumibile come segue:

1. Lgs. n. 114/1998 (decreto Bersani; ha comportato la riforma della disciplina del commercio, comprendendo tutte le ipotesi di vendita al dettaglio attraverso un sito internet o, in generale, le vendite a distanza);
2. Lgs. n. 185/1999 (relativo alla protezione dei consumatori nelle vendite a distanza);
3. Lgs. n. 70/2003, di recepimento della direttiva 2000/31/CE (ex multis, all’art. 7, prevede tutte le informazioni che il prestatore di servizi deve necessariamente fornire ai destinatari/consumatori);
4. Lgs. n. 206/2005 (Codice del Consumo; all’art. 52 indica tutte le informazioni da dare al consumatore);
5. Lgs. n. 59/2010, che recepisce la direttiva 123/2006/CE del Parlamento Europeo (apporta modifiche che mirano alla semplificazione normativa e amministrativa della regolamentazione e, in particolare, delle procedure e delle formalità relative all’accesso e allo svolgimento delle attività di servizio).

Chiariti questi aspetti introduttivi, è il caso di definire a livello pratico come vada strutturato un sito e-commerce… a prova di Legge!

Concentrandoci sulla sola attività B2C (necessariamente professionale ed abituale), le linee guida sono le seguenti:

1. La normativa in materia non si applica:

–    agli artigiani, per la vendita nei locali di produzione o nei locali a questi adiacenti dei beni di produzione propria;

–    alle associazioni dei produttori ortofrutticoli;

–    ai titolari di rivendite di generi di monopolio;

–    ai produttori agricoli;

–    alle vendite di carburante;

–    ai pescatori e alle cooperative di pescatori;

–   a chi vende o espone per la vendita le proprie opere d’arte, nonché quelle dell’ingegno a carattere creativo, comprese le proprie pubblicazioni di natura scientifica o informativa;

–    all’attività di vendita effettuata nelle fiere campionarie e nelle mostre di prodotti;

–    ai farmacisti;

–    alla vendita dei beni del fallimento;

–    agli enti pubblici o alle persone giuridiche private partecipate dallo Stato o da enti territoriali;

2. Va presentata una segnalazione certificata di inizio attività al Comune di residenza o in cui è situata la sede del soggetto giuridico e va indicato il settore merceologico di attività del sito nonché un dominio web;
3. È fatto obbligo di indicare i dati societari sul website (se si tratta di una società di capitali vanno indicati: nome, denominazione o ragione sociale; domicilio o sede legale; partita IVA − in home page; provincia dell’ufficio registro di iscrizione; codice fiscale; numero REA; capitale sociale; va indicato se la società è unipersonale e se è in liquidazione; elementi di individuazione dell’autorità di vigilanza qualora l’attività sia soggetta a concessione, licenza o autorizzazione. Se si tratta di società di persone e/o di imprese individuali, va indicata la partita IVA);
4. È necessario indicare quanto previsto dal Codice del Consumo (ex 52: “In tempo utile, prima della conclusione di qualsiasi contratto a distanza, il consumatore deve ricevere le seguenti informazioni: a) identità del professionista e, in caso di contratti che prevedono il pagamento anticipato, l’indirizzo del professionista; b) caratteristiche essenziali del bene o del servizio; c) prezzo del bene o del servizio, comprese tutte le tasse e le imposte; d) spese di consegna; e) modalità del pagamento, della consegna del bene o della prestazione del servizio e di ogni altra forma di esecuzione del contratto; f) esistenza del diritto di recesso o di esclusione dello stesso, ai sensi dell’articolo 55, comma 2; g) modalità e tempi di restituzione o di ritiro del bene in caso di esercizio del diritto di recesso; h) costo dell’utilizzo della tecnica di comunicazione a distanza, quando è calcolato su una base diversa dalla tariffa di base; i) durata della validità dell’offerta e del prezzo; l) durata minima del contratto in caso di contratti per la fornitura di prodotti o la prestazione di servizi ad esecuzione continuata o periodica”);
5. Deve essere presente l’informativa privacy (D.lgs. 196/2003) e devono essere rispettate le disposizioni di legge in materia di cookies (per queste due tematiche si rimanda ai seguenti articoli: http://osservatoriodigitalepmi.it/de-rerum-privacy/; http://osservatoriodigitalepmi.it/cookiess-recipe/);
6. È necessario il rispetto delle regole relative alla contrattualistica, applicabile anche ai contratti on line;
7. È fatto obbligo di informare il consumatore delle modalità e tempistiche (se non indicate, il termine per l’esercizio del recesso è di 1 anno e 14 giorni − anziché soli 14 gg) di esercizio del diritto di recesso, nonché sull’assistenza e sulla garanzie in essere;
8. È necessario che il consumatore riconosca espressamente che l’ordine di acquisto implica l’obbligazione di pagamento (se l’inoltro dell’ordine implica l’utilizzo di un pulsante o similia, il pulsante deve riportare la scritta “ordine con obbligo di pagare”. In caso contrario, il consumatore non è vincolato dal contratto o dall’ordine);
9. Devono essere messe a disposizione del consumatore le condizioni generali di vendita;
10. Vi è l’obbligo di invio della ricevuta relativa all’ordine, comprensiva delle informazioni del caso;
11. È vietato il commercio all’ingrosso e al dettaglio congiuntamente.

In Italia il settore e-commerce si sta espandendo rapidamente, tanto che le vendite, ad oggi, superano i 16,6 miliardi con un aumento di oltre il 16%.

Bisogna però ricordarsi che le vendite on line non si improvvisano, ed esserci non basta. E quindi? Come dice Giulio Finzi (Netcomm) “Quello che serve innanzitutto è avere contenuti di qualità che siano capaci di raccontare la storia dei nostri prodotti in pochi secondi. Bisogna poi essere pronti a gestire il servizio in tempo reale: evadendo gli ordini, perché il marketplace è aperto 24 ore al giorno, sette giorni su sette; controllando il magazzino; e poi infine seguendo il cliente in tempo reale, informandolo ed essendo pronti a gestire i suoi resi”.

Avv. Anna Capoluongo

L'articolo E-commerce: siti a prova di…legge! sembra essere il primo su Osservatorio Digitale PMI.

L’obbligo di fatturazione elettronica verso le pubbliche amministrazioni

Il 31 luglio scorso, l’Agenzia per l’Italia Digitale (AgID) ha pubblicato un nuovo report contenente diversi dati ‒ aggiornati al 30 giugno 2015 ‒ relativi all’adozione della fatturazione elettronica da parte di imprese e pubbliche amministrazioni.

I numeri rilevati dall’AgID appaiono notevoli se si tiene in considerazione il fatto che l’introduzione di tale sistema di fatturazione sia decisamente recente: il 6 giugno 2014 esso è entrato in vigore all’interno delle amministrazioni centrali ‒ ovvero ministeri, agenzie fiscali ed enti nazionali di previdenza ‒ e il 31 marzo 2015 è stato esteso a tutte le pubbliche amministrazioni. Il 30 giugno 2015 il Sistema di Interscambio aveva già gestito oltre 10 milioni di fatture elettroniche, con una percentuale di fatture scartate a causa di errori inferiore al 10%. Il motivo per cui è stato possibile raggiungere cifre simili in un lasso di tempo così ristretto è semplice: l’obbligo di utilizzo della fatturazione elettronica da parte delle imprese è coinciso con il blocco definitivo del pagamento delle fatture cartacee da parte delle PA. Si è assistito quindi a un vero e proprio switch off del formato cartaceo e tutte le aziende che lavorano con enti pubblici e PA si sono dovute adeguare, dotandosi di specifiche soluzioni tecniche, ma soprattutto modificando i propri modelli organizzativi. La necessità di effettuare una serie di cambiamenti radicali ha certamente avuto maggiore impatto sulle PMI che sulle realtà più grandi.

Le norme sulla fatturazione elettronica

Diverse sono le norme sulla fatturazione elettronica che si sono succedute nel tempo. Per evitare di dilungarsi troppo, di seguito vengono richiamate unicamente le principali, ma chi fosse interessato a un elenco esaustivo può fare riferimento alla pagina ufficiale dedicata:

• DPR n. 633/1972, come modificato dalla L. 228/2012 (Legge di Stabilità) art. 21 e 29: contiene definizioni, caratteristiche e requisiti della fattura elettronica;

• L. n. 244/2007 (Legge finanziaria 2008) art. 1 commi 209 – 214: introduce l’obbligo di fatturazione elettronica;

• D.M. 7/3/2008: primo decreto attuativo della Legge 244/2007, che individua l’Agenzia delle Entrate quale gestore del Sistema di Interscambio (SdI);

• D.M. 3 aprile 2013 n.55: secondo decreto attuativo della Legge 244/2007, che rende operativa la gestione dei processi di fatturazione verso la PA;

• D.L. n. 66/2014 art. 25: anticipa l’obbligo della fatturazione elettronica verso tutte le PA, precedentemente escluse dall’obbligo del 6 giugno 2014.

Le caratteristiche del sistema di fatturazione elettronica

Il sistema di fatturazione elettronica verso le PA, comunemente noto come “FatturaPA”, presenta alcune peculiari caratteristiche:

• la fattura è costituita da un file in formato XML (eXtensible Markup Language), che si distingue per una struttura fissa e una serie di contenuti predefiniti, tra cui il codice identificativo univoco dell’ufficio destinatario, elemento indispensabile per il corretto inoltro della fattura;

• il file XML deve essere sottoscritto con firma elettronica qualificata, al fine di garantire l’integrità e la paternità dello stesso;

• la trasmissione delle fatture destinate alle PA avviene attraverso il Sistema di Interscambio (SdI), che si occupa di verificare che i file XML ricevuti siano conformi alla norma, per poi inoltrarli ‒ nel caso in cui superino la validazione ‒ alle PA destinatarie, informando tempestivamente il mittente ‒ mediante l’invio di una ricevuta ‒dell’esito positivo dell’invio o della presenza di errori o anomalie.

In concreto, i passaggi che l’impresa deve seguire sono i seguenti:

• predisposizione del file XML della fattura, eventualmente tramite gli strumenti gratuiti disponibili sul sito;

• sottoscrizione del file XML con firma elettronica qualificata ‒ per esempio con il dispositivo di firma digitale rilasciato dalla Camera di Commercio;

• invio della fattura elettronica XML firmata digitalmente al Sistema di Interscambio, via Web ‒ attraverso il sito ‒ oppure a uno specifico indirizzo PEC tramite posta elettronica certificata.

Le difficoltà per le PMI

Queste operazioni, di per sé, possono non essere sempre di semplice ed immediata applicazione, ma lo scoglio maggiore per le PMI è rappresentato dalla corretta conservazione delle fatture elettroniche. Il DPR 633/72 rinvia infatti al Codice della Amministrazione Digitale (DLGS 82/2005) e, inoltre, vanno applicate le regole tecniche sulla conservazione sostitutiva previste dal DPCM del 3 dicembre 2013. Ciò comporta, tra le altre cose, l’obbligo di nominare un responsabile per la conservazione e di disporre di specifiche ed idonee infrastrutture tecnologiche atte a preservare, oltre che le fatture, tutte le ricevute con l’esito dell’invio generate dal sistema.

Si è pertanto diffusa la figura ‒ già prevista dalla normativa ‒ dell’intermediario, che gestisce l’intero ciclo di fatturazione per conto del mittente. Il servizio è in genere svolto da società medio-grandi, già attive come enti certificatori e quindi dotate dei requisiti tecnico normativi necessari per adempiere agli oneri relativi alla conservazione sostitutiva.

Dal 2017: la fatturazione opzionale tra privati

Con il D.Lgs. n. 127/2015, entrato in vigore lo scorso 2 settembre, si sono aperte le porte alla fatturazione elettronica facoltativa tra privati. In particolare, dal 1 luglio 2016 l’Agenzia delle Entrate metterà a disposizione dei contribuenti, gratuitamente, un servizio per la generazione, la trasmissione e la conservazione delle fatture elettroniche. Dal 1 gennaio 2017, inoltre, sarà reso disponibile ai soggetti passivi IVA il Sistema di Interscambio, già accessibile nel caso di rapporti con le PA, al fine di consentire sempre l’invio e la ricezione delle fatture elettroniche tra tutti i residenti nel territorio dello Stato.

L’obiettivo del Ministero dell’Economia e delle Finanza è chiaro: con i dati acquisiti dal Sistema di Interscambio ‒ che verrà in possesso delle fatture elettroniche attive e passive dei contribuenti ‒ sarà possibile effettuare in modo più semplice i controlli a distanza.

I vantaggi promessi al contribuente che aderirà alla fatturazione elettronica, per ora solo facoltativa, sono la semplificazione e la riduzione degli adempimenti burocratici e fiscali, grazie a specifici incentivi previsti dall’art. 3 del Decreto. Si noti che per accedere ai benefici in questione il contribuente potrà utilizzare il Sistema di Interscambio oppure limitarsi all’invio telematico dei dati di tutte le fatture emesse e ricevute in formato cartaceo, non aderendo al sistema di fatturazione elettronico.

Infine, entro 6 mesi dall’entrata in vigore del presente decreto (2 marzo 2016), è previsto che il MEF vari nuove regole tecniche per effettuare i controlli fiscali prevalentemente in via telematica, mediante l’invio dei dati in formato elettronico, riducendo le verifiche fisiche presso la sede dell’azienda, con indubbi vantaggi per le PMI.

Dott. Luca Frabboni

Esperto in informatica giuridica e giudiziaria Maat Srl

http://www.maatsrl.it/

L'articolo Fatturazione elettronica e PMI sembra essere il primo su Osservatorio Digitale PMI.

In attesa che Governo e Parlamento si adoperino per una valida e rispettosa applicazione di tali articoli (in toto), è il caso di scorrere il testo della Dichiarazione per estrapolarne i capisaldi. Chiara è l’ispirazione di stampo europeo ed internazionale, laddove vengono garantiti i diritti fondamentali di ogni persona riconosciuti dalla Dichiarazione universale dei diritti umani delle Nazioni Unite, dalla Carta dei diritti fondamentali dell’Unione Europea, dalle costituzioni nazionali e dalle dichiarazioni internazionali in materia.

La Dichiarazione dei diritti in Internet è fondata sul pieno riconoscimento di libertà, eguaglianza, dignità e diversità di ogni persona, tanto che la garanzia di questi diritti è condizione necessaria per il funzionamento democratico delle Istituzioni, anche al fine di evitare di approdare ad una società della sorveglianza, del controllo e della selezione sociale. Internet, così, si configura come uno spazio sempre più importante per l’auto-organizzazione delle persone e dei gruppi e come strumento essenziale per promuovere l’eguaglianza sostanziale e la partecipazione ai processi democratici.

Di particolare interesse (quanto meno potenziale) è l’introduzione del concetto di cui all’art. 2: l’accesso ad Internet è riconosciuto quale diritto fondamentale della persona e condizione per il suo pieno sviluppo individuale e sociale, tanto che lo stesso deve essere assicurato nei suoi presupposti sostanziali e non solo come possibilità di collegamento alla Rete. In tale ambito è previsto che le Istituzioni pubbliche garantiscano gli interventi necessari per il superamento di ogni forma di divario digitale, tra cui quelle determinate dal genere, dalle condizioni economiche, o da situazioni di vulnerabilità personale e disabilità.

A seguire, gli articoli sul diritto alla conoscenza e all’educazione in rete (art. 3) e sulla neutralità della rete, ossia sul diritto, che ogni persona ha, che i dati trasmessi e ricevuti in Internet non subiscano discriminazioni, restrizioni o interferenze in relazione al mittente, ricevente, tipo o contenuto dei dati, dispositivo utilizzato, applicazioni o, in generale, legittime scelte delle persone (art. 4).

Negli articoli 5, 6, 7 e 8 vengono invece riportati (in chiave sintetica, ma assai ben congegnata) i contenuti dell’attuale Codice della Privacy, che sono “potenziati” nei concetti di abuso del consenso e di divieto di utilizzo dei dati per finalità discriminatorie e che si ricollegano al diritto all’oblio (diritto di ottenere la cancellazione di determinati riferimenti ed informazioni sulla persona) di cui all’art. 11. Prende inoltre forma il diritto all’identità, secondo il quale ogni persona ha diritto alla rappresentazione integrale ed aggiornata delle proprie identità in Rete: tale definizione dell’identità riguarda la libera costruzione della personalità e non può essere sottratta all’intervento e alla conoscenza dell’interessato.

Un ulteriore sforzo normativo si trova nel testo dell’art. 10, col tentativo di delineare un diritto all’anonimato.

Passando, infine, per i più generici art. 12 (diritti e garanzie delle persone sulle piattaforme) e 13 (sicurezza in rete), la Dichiarazione dei diritti in Internet si chiude con l’art. 14 sul “Governo della rete”, e quindi con il rispetto dei principi di trasparenza, di responsabilità delle decisioni, di accessibilità alle informazioni pubbliche e la rappresentanza dei soggetti interessati, nonché con la previsione di costituzione di autorità nazionali e sovranazionali indispensabili per garantire il rispetto dei criteri/principi indicati nel testo.

Pertanto (quanto meno per ora) non norme, ma principi indicativi, che Rodotà ha incisivamente così riassunto: “accettazione della tecnologia” e “necessità di far avanzare con essa i diritti collegati a questa evoluzione”.

Avv. Anna Capoluongo

L'articolo La dichiarazione dei diritti in Internet sembra essere il primo su Osservatorio Digitale PMI.