Modalità di assolvimento degli obblighi fiscali relativi ai documenti informatici Decreto 23 gennaio 2004 Ministero dell economia e delle finanze Dipartimento politiche fiscali Ufficio tecnologie informatiche Mariano Lupo mariano.lupo@finanze.itit Definizioni (art( art.. 1) firma elettronica : l insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica; firma elettronica qualificata : firma elettronica avanzata che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma.
Definizioni (art( art.. 1) riferimento temporale : informazione, contenente la data e l ora, che viene associata ad uno o più documenti informatici; l operazione di associazione deve rispettare le procedure di sicurezza definite e documentate, a seconda della tipologia dei documenti da conservare, dal soggetto pubblico o privato che intende o è tenuto ad effettuare la conservazione digitale ovvero dal responsabile della conservazione nominato dal soggetto stesso; q) marca temporale : evidenza informatica che consente di rendere opponibile a terzi un riferimento temporale. 3 Definizioni (art( art.. 1) documento statico non modificabile : documento informatico redatto in modo tale per cui il contenuto risulti non alterabile durante le fasi di accesso e di conservazione nonché immutabile nel tempo; a tal fine il documento informatico non deve contenere macroistruzioni o codice eseguibile, tali da attivare funzionalità che possano modificare gli atti, i fatti o i dati nello stesso rappresentati 4
Definizioni (art( art.. 1) documento statico = non deve contenere macroistruzioni o codice eseguibile, documento non modificabile ovvero il contenuto risulti non alterabile durante le fasi di accesso e di conservazione nonché immutabile nel tempo = firma elettronica qualificata per provare la non modificabilità 5 Emissione, conservazione ed esibizione (art( art.. 2) Ai fini tributari, fatto salvo quanto previsto dal comma 2, l emissione, la conservazione e l esibizione di documenti, sotto forma di documenti informatici, nonché la conservazione digitale di documenti analogici avvengono in applicazione delle disposizioni del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, del decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999, della deliberazione dell AIPA del 13 dicembre 2001, n. 42, e secondo quanto previsto dal presente decreto. 6
Emissione, conservazione ed esibizione (art( art.. 2) 2. Il presente decreto non si applica alle scritture e ai documenti rilevanti ai fini delle disposizioni tributarie nel settore doganale, delle accise e delle imposte di consumo di competenza dell Agenzia delle dogane. 7 Obblighi da osservare per i documenti informatici rilevanti ai fini delle disposizioni tributarie Art. 3 hanno la forma di documenti statici non modificabili; sono emessi, al fine di garantirne l attestazione della data, l autenticità e l integrità, con l apposizione del riferimento temporale e della sottoscrizione elettronica; sono memorizzati su qualsiasi supporto di cui sia garantita la leggibilità nel tempo, purché sia assicurato l ordine cronologico e non vi sia soluzione di continuità per ciascun periodo d imposta; pertanto deve essere memorizzata anche la firma degli insiemi di documenti devono essere consentite le funzioni di ricerca e di estrazione delle informazioni dagli archivi informatici in relazione al cognome, al nome, alla denominazione, al codice fiscale, alla partita Iva, alla data o associazioni logiche di questi ultimi. 8
Obblighi da osservare per i documenti informatici rilevanti ai fini delle disposizioni tributarie Art. 3 Il processo di conservazione dei documenti informatici termina con la sottoscrizione elettronica e l apposizione della marca temporale, in luogo del riferimento temporale, sull insieme dei predetti documenti ovvero su un evidenza informatica contenente l impronta o le impronte dei documenti o di insiemi di essi da parte del responsabile della conservazione Il processo di conservazione è effettuato con cadenza almeno quindicinale per le fatture e almeno annuale per i restanti documenti. La riproduzione dei documenti informatici, su supporto idoneo, avviene secondo le modalità di cui all articolo 1, lettere o) e p), della delibera n. 42/2001 In tal modo all insieme dei documenti si associa la sottoscrizione per garantire che non vi sia soluzione di continuità e che non siano modificabili 9 Processo di conservazione Ai sensi dell art. 9 del DPCM 8/2/99, alla firma deve essere allegato il certificato della chiave pubblica corrispondente da utilizzare per la verifica (anche se scaduto!) Ad ogni documento informatico o insieme ordinato di documenti informatici corrisponde una diversa firma digitale. 10
Conservazione digitale delle scritture contabili e dei documenti analogici rilevanti ai fini tributari (art. 4) Il processo di conservazione avviene mediante memorizzazione della relativa immagine, secondo le modalità di cui all articolo 3, commi 1 e 2. Il processo di conservazione di cui al comma 1 può essere limitato a una o più tipologie di documenti e scritture analogici, purché sia assicurato l ordine cronologico delle registrazioni e non vi sia soluzione di continuità per ogni periodo di imposta. Il processo di conservazione digitale di documenti analogici originali avviene secondo le modalità di cui al comma 1 e si conclude con l ulteriore apposizione del riferimento temporale e della sottoscrizione elettronica da parte di un pubblico ufficiale per attestare la conformità di quanto memorizzato al documento d origine. La distruzione dei documenti analogici è consentita soltanto dopo il completamento della procedura di conservazione digitale. 11 Comunicazione alle Agenzie fiscali dell impronta relativa ai documenti informatici rilevanti ai fini tributari (art. 5) il soggetto interessato o il responsabile della conservazione, ove designato, al fine di estendere la validità dei documenti informatici trasmette alle competenti Agenzie fiscali, l impronta dell archivio informatico oggetto della conservazione, la relativa sottoscrizione elettronica e la marca temporale. Con provvedimento le Agenzie fiscali indicano gli ulteriori dati ed elementi identificativi da comunicare unitamente a quelli del precedente comma. Tra gli elementi identificativi sono compresi i certificati di firma 12
Esibizione delle scritture e dei documenti rilevanti ai fini tributari (art( art. 6) 1. Il documento di cui all articolo 3 è reso leggibile e, a richiesta, disponibile su supporto cartaceo e informatico presso il luogo di conservazione delle scritture, in caso di verifiche, controlli o ispezioni. La leggibilità deve quindi essere assicurata anche a distanza di tempo a cura dell interessato 2. Il documento conservato può essere esibito anche per via telematica secondo le modalità stabilite con provvedimenti dei direttori delle competenti Agenzie fiscali. 13 Modalità di assolvimento dell imposta di bollo sui documenti informatici (Art. 7) L imposta sui libri e sui registri di cui all articolo 16 della tariffa, allegata al decreto del Presidente della Repubblica 26 ottobre 1972, n. 642, tenuti su supporto di memorizzazione ottico o con altro mezzo idoneo a garantire la non modificabilità dei dati memorizzati, è dovuta ogni 2500 registrazioni o frazioni di esse ed è versata nei modi indicati nel comma 1 Registrazione = rekord 14
Certificato Il certificato serve ad associare univocamente una chiave crittografica ad una entità tramite delle informazioni Tale associazione è garantita da una terza parte fidata o CA che firma digitalmente ogni certificato 15 Attenzione alla verifica! Oltre alla firma, quando si riceve un documento informatico occorre verificare che il certificato sia ancora valido, cioè non revocato, sospeso o scaduto! La verifica è a carico del ricevente. Un certificato può venir revocato prima della sua scadenza naturale dall emettitore o dal soggetto 16
Revoca dei certificati Elenco di certificati revocati e sospesi (CRL): firmato dalla CA o suo delegato On-line Certificate Status Protocol (OCSP) dà risposte puntuali firmate dal server (non dalla CA!), utile per transazioni commerciali 17 Time-stamping Costituisce prova opponibile a terzi che i dati esistevano prima di un certo istante Viene rilasciata da TSA Protocollo di richiesta Formato della prova 18
Smart-card Sono carte a microchip con capacità crittografiche Dotate di memoria propria 4-16 Kbyte Lunghezza chiave 512-2048 bit La generazione della chiave privata avviene a bordo Crittografia DES ed RSA 19 CA: l organizzazione Richiesta e revoca dei certificati (l utente viene identificato) La generazione delle chiavi avviene da parte dell utente o della CA Autorità di registrazione e di revoca Servizi di pubblicazione Key-recovery? 20
CA: la tecnologia Certifica data ed ora Notarizzazione dei dati e dello scambio dati Supporto HW per firma Dati dei certificati Estensioni dei certificati Applicazioni SW supportate 21 Certificati di attributi Sono informazioni aggiuntive rispetto al certificato Possono essere inseriti nel certificato (come prevede la legge) es: identità e ruolo Meglio in una directory o nel certificato attributo Infatti gli attributi non sono gestiti da CA gerarchica e variano nel tempo e nei luoghi! 22
Time Stamping Protocol Pubblicato come RFC 3161 ad agosto 2001 Fissa entità e ruoli per l emissione del TS Il protocollo per la comunicazione tra entità: messaggi del protocollo e relativi formati: richiesta, risposta Molti requisiti delle entità Entità sono: time source, client, server 23 Specifiche per il TS Sono previste due fasi: richiesta ed emissione con verifica immediata, oppure la verifica a posteriori Non è necessario autenticare il client Il TS certifica solo che un certo documento o dato esiste ad un particolare istante (o meglio prima ) Chiunque può trasmettere un dato, ottenere il TS e provare così la sua esistenza! 24
La verifica immediata Serve per accettare o rifiutare il TS appena ricevuto dalla TSA Si effettua con verifica della validità della firma cioè certificato+crittografia La effettua il client che ha trasmesso la richiesta Verifica anche la congruità dei parametri tra richiesta e le informazioni restituite 25 La verifica a posteriori Avviene tramite SW di verifica e non interagisce con TSA Spesso avviene molto tempo dopo la generazione del TS In genere è svolta da un verificatore qualsiasi verifica la validità della firma cioè certificato + crittografia Verifica la corrispondenza tra documento e TS mediante ricalcolo del digest del documento 26
DPCM 8/2/1999 artt.. 52-61 Detta regole per la validazione temporale e la protezione dei documenti informatici Definisce la marca temporale Data e ora UTC Tempo Universale Coordinato con errore < 1 s Sistema ITSEC high-e2 La generazione deve avvenire entro 1 dalla richiesta ma non è chiaro come possa essere esente da malfunzionamenti anche di rete! 27 DPCM 8/2/1999 Prevede anche l applicazione di più marche temporali ma con chiavi diverse, per garantire da ev. corruzione della chiave privata del certificatore Potrebbe essere applicata 1 marca su più documenti, cioè inviati più digest nella richiesta di validazione, in realtà le specifiche tecniche non lo prevedono Senza TS l estensione della validità di un documento informatico deve essere effettuata prima della scadenza di un certificato Con TS, prima della scadenza della marca, si può rinnovare la durata apponendo un altra marca 28
Formati per l utilizzo della firma elettronica Possono essere usati vari formati, proprietari o non, per i documenti informatici Formato S/MIME per la firma e la cifratura di un messaggio di posta MIME La famiglia di standard de facto PKCS Esempi: per la firma e cifratura dei dati in una busta sicura (PKCS-7), per il trasporto di chiavi e certificati tra sistemi eterogenei (PKCS-12) 29 Requisiti informatici dei documenti elettronici a valore legale Non è opportuno usare una qualsivoglia rappresentazione dei dati ma E CONSIGLIABILE UN FORMATO: STANDARD DOCUMENTATO, CON CODIFICA DEI DATI NOTA, CIOE APERTO e quindi leggibile anche tra molti anni! ma anche SICURO, i dati devono essere incapsulati in una busta sicura Esempi: ASCII, PDF, XML (documentante!) ecc. 30
Conservazione sostitutiva Delibera n. 42/2001 La transizione ad un formato aperto non è obbligatoria, ma potrebbe verificarsi il riversamento sostitutivo, con cambio di rappresentazione dei documenti informatici In tal caso c è necessità del riferimento temporale e di intervento del resposabile della conservazione per attestare la conformità dei documenti, o del pubblico ufficiale ove previsto 31 Interoperabilità delle firme elettroniche Vi possono essere vincoli da parte delle applicazioni conformi solo parzialmente alle specifiche degli standard! Nelle infrastrutture di certificazione sono usati standard de iure e de facto, ma talvolta anche specifiche proprietarie. La completa conformità a standard NON implica automaticamente l interoperabilità! Esempio: lo standard X.509v3 prevede estensioni private riconosciute da una sola classe di utenti 32
Problemi aperti: come ottenere la totale compatibilità ed interoperabilità? Dei dispositivi di firma Dei certificati digitali Dei riferimenti e delle marche temporali Dei documenti informatici Delle firme elettroniche qualificate ( non è sufficiente la sola conformità alla Direttiva CE 93/99, all. 5.2 ) 33 Domande e risposte E importante la sicurezza dei certificatori? Sempre per il processo di verifica, molto di meno per la generazione della firma che avviene all interno di un dispositivo L attuale firma elettronica qualificata ha un elevatissimo livello di sicurezza intrinseco? Dipende sempre dal contesto d uso e soprattutto dal software usato sul PC E sufficiente la completa adesione a standard per garantire l interoperabilità? Sicuramente no, ad esempio per le estensioni e l uso in ambito CE 34
Domande e risposte Il dispositivo di firma è personale? Esistono altri strumenti per dare validità ad atti informatici? Si possono usare soltanto supporti ottici per memorizzare e conservare documenti informatici? 35